Spring框架及Log4j远程代码执行漏洞影响力分析

前言

随着疫情催化企业数字化转型的脚步，不断变化对的攻击模式催生出新的安全需求。一方面，漏洞也在不断变异和迭代，潜在危害极具破坏性；另一方面，攻击者也在寻找新的漏洞利用模式。

目前，受到Log4j2漏洞影响和威胁的企业与组织数量仍在持续增长，Spring框架远程命令执行漏洞（CVE-2022-22965）事件（官方已发布新版本完成漏洞修复）也成为近期的焦点。依照目前的漏洞披露情况、发现及更新，根据统计数据和现有的漏洞管理实践，我们在此基于Maven Central中发布的第三方库进行Spring-Core及Log4j2供应链传播进行分析。

RCE漏洞影响力分析

作为组件成分分析的重要组成部分，我们长期维护了面向主流语言生态中的第三方库的知识图谱，其中包含了各个组件的发布版本、时间、依赖及已知安全漏洞等相关信息，截止分析时间，Maven知识图谱中共包含超过属于45.6万第三方库的829万个不同版本的相关信息。基于此，我们针对Spring框架远程命令执行漏洞及Log4j2 JNDI RCE两个“核弹级”漏洞在供应链上反向追溯其影响力。

一、Spring框架远程命令执行漏洞 （官方已发布补丁）

根据最新消息，2022年3月30日，国家漏洞（NVD）收录了Spring框架远程命令执行漏洞（CVE-2022-22965）。NVD对该漏洞的综合评级为“高危”。

目前，Spring官方已发布新版本完成漏洞修复，我们建议受漏洞影响的产品（服务&

最后

以上就是靓丽小鸽子为你收集整理的Spring框架及Log4j远程代码执行漏洞影响力分析的全部内容，希望文章能够帮你解决Spring框架及Log4j远程代码执行漏洞影响力分析所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。