ចន្លោះប្រហោងដ៏គ្រោះថ្នាក់ RCE Bug រកឃើញនៅលើ Spring Cloud

0

ចន្លោះប្រហោងសុវត្ថិភាពមួយត្រូវបានរកឃើញនៅក្នុង Spring Cloud Java Framework ដែលនាំអោយអ្នកវាយប្រហារអាចបញ្ជាកូដពីចម្ងាយ និងគ្រប់គ្រងទៅលើឧបករណ៍ដែលបានភ្ជាប់អ៊ីនធឺណិតទាំងស្រុងតែម្តង។ ចន្លោះប្រហោង Spring Cloud នេះគឺមានលេខកូដ CVE-2022-22963 ហើយវាមានឈ្មោះហៅថា Spring4 Shell ។

នៅពេលដែល Spring នេះត្រូវដាក់ពង្រាយទៅកាន់ Apache Tomcat នោះ WebAppClassLoader អនុញ្ញាតអោយអ្នកវាយប្រហារអាចសរសេរនូវ JSP file មេរោគនៅក្នុង Disk បាន។ វិធីមួយទៀតនោះ អ្នកវាយប្រហារក៏អាចផ្ញើនូវ POST request នេះទៅកាន់ប្រព័ន្ធដែលរងគ្រោះផងដែរ។

ចន្លោះប្រហោង Spring4Shell នេះគឺមានសក្តានុពលក្នុងការក្លាយជាកំហុស Log4Shell។ វិធីសាស្រ្តក្នុងការបញ្ឈប់នូវការវាយប្រហារ Spring4Shell នេះគឺ disable pattern ទៅកាន់ Spring Core DataBinder ៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here