昨日宣佈有關反序列化漏洞(CVE-2015-4852):SpringFramework是否使用commons.collections的InvokerTransformer?
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
springframework的使用commons.collections。
如果SpringFramework使用InvokerTransformer,它可能容易受到反序列化漏洞(CVE-2015-4852)的攻擊。
SpringFramework使用commons.collections的InvokerTransformer的問題?
你有沒有嘗試過源代碼? – Marged
我會下載一個grep的源碼。可能有人已經有代碼,並可以grep :) – Michael
是不是更重要的問題是否有什麼在Spring Framwork反序列化用戶提供的序列化對象?此時,如果存在commons-collection(因爲製作的vuln使用'InvokerTransform'),並且Spring被送入一個序列化對象,則存在風險。 –