Pivotal Spring Framework是美国Pivotal Software公司的开源Java、Java ee APP框架。 此框架有助于开发人员构建高质量的APP应用程序。 Pivotal Spring Framework 5.0.5之前的5.0版、4.3.15之前的4.3版和较旧的版本中存在安全漏洞。 远程攻击者可以通过创建消息来利用此漏洞执行任意代码。
漏洞再现我使用的是vulhub的环境。 环境中附带了exploit.py。 这个poc需要修改参数,没有通用性。 当然,你也可以看这篇文章了解详细的构成。 在vulhub环境中,只需修改以下url即可使用。 我们在python3上运行这个poc。