Sonatype扫描显示SpringWeb易受攻击_Spring_Spring Mvc_Security_Owasp_Sonatype

Sonatype扫描显示SpringWeb易受攻击

spring spring-mvc security

Sonatype扫描显示SpringWeb易受攻击,spring,spring-mvc,security,owasp,sonatype,Spring,Spring Mvc,Security,Owasp,Sonatype,我公司的Sonatype扫描显示，即使是最新版本（目前为5.2.3.RELEASE），SpringWeb也易受攻击。它说“发现了严重性为9.8的安全漏洞CVE-2016-1000027”。我注意到CVE-2016-1000027于2020年2月1日被添加到国家漏洞数据库中，它是关于“Spring Framework 4.1.4如果用于Java反序列化不受信任的数据，可能会遇到远程代码执行（RCE）问题”。这是一张过时的票还是4年后仍未解决从Spring框架的角度解决了这个问题。只有在使用HTT

我公司的Sonatype扫描显示，即使是最新版本（目前为5.2.3.RELEASE），SpringWeb也易受攻击。它说“发现了严重性为9.8的安全漏洞CVE-2016-1000027”。我注意到CVE-2016-1000027于2020年2月1日被添加到国家漏洞数据库中，它是关于“Spring Framework 4.1.4如果用于Java反序列化不受信任的数据，可能会遇到远程代码执行（RCE）问题”。这是一张过时的票还是4年后仍未解决

从Spring框架的角度解决了这个问题。只有在使用

HTTPInvokerServiceExporter

或

RemoteInvocationSerializingExporter

并从不受信任的源读取数据时，应用程序才易受攻击

反序列化来自不受信任源的Java代码是Java中一个众所周知的问题（因此，所有Java应用程序和框架都是如此！），在将来的Java版本中可能会删除此功能

鉴于此安全问题的性质（除了删除类之外，没有办法“修复”，这将在Spring Framework的下一个主要版本中完成），联系您的供应商或安全团队是最好的做法。Spring团队很乐意帮助社区解决这一问题，如果需要，可以提供更多关于该问题的上下文。

Sonatype对易受攻击组件的来源进行了扩展分析，因此我们发现CVE的信息不完整并不罕见。也就是说，如果您有疑问，我建议联系Sonatype支持部门，因为Nexus IQ Server是一款获得许可且受支持的产品。似乎尚未解决：-