作者CMJ0121 (不安全研究员)
看板NetSecurity
标题[情报] Spring4Shell (CVE-2022-22965)
时间Thu Mar 31 08:54:59 2022
昨天 (还是前天开始) 应该很多人都没睡觉在看 CVE-2022-22963[0]
简单来说又有一个基础 framework 的 RCE 安全性漏洞
官方文件上的 CVSS v3 分数是 5.4 (medium)[1] 看评估是个
不严重的问题
是否要立即升级 就看各位的各种评估 ~
[0]:
https://tanzu.vmware.com/security/cve-2022-22963
[1]:
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.162.187.40 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1648688101.A.6B8.html
1F:推 luciferii: 这跟 Sprint4Shell 是不同漏洞 03/31 21:06
2F:推 isaacc: 版主,您标题就弄错了... 04/01 00:17
3F:→ CMJ0121: :) 楼上两位大大快回文打脸啊 ~ 04/01 08:53
---
[UPDATE]
打错也可以打脸我啊 我常常把脸伸出来被打的
two RCE vulnerabilities were being discussed on the internet.[0]
Most of the people talking about them believe they're talking about
"Spring4Shell" (CVE Added: CVE-2022-22965), but in reality they're
swapping notes about CVE-2022-22963.
看来 22963 跟 22965 两个效果不太一样
22965 严重多了[1] 是 9.8 (critical)
[0]:
https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
[1]:
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
※ 编辑: CMJ0121 (1.162.187.40 台湾), 04/01/2022 08:57:33
4F:推 isaacc: 版主别客气,目前看起来22965编号已经确认。大家辛苦了 04/01 09:29
5F:推 luciferii: 新ID昨晚刚好出来啊 CVE-2022-22965,分数9.8 04/01 12:02