信息表明 Spring Framework 中已报告了一个 RCE 0day 漏洞。如果目标系统使用Spring开发,并且JDK版本高于JDK9,未经授权的攻击者可以利用该漏洞在目标设备上远程执行任意代码。一、漏洞情况分析Spring框架是Java应用最广泛的轻量级开源框架,在JDK9版本的Spring框架(及以上)中,远程攻击者可以通过框架的参数绑定特性获取AccessLogValve对象,利用恶意字段值触发如果满足某些条件,则管道机制并写入任意路径中的文件。任何路径下的文件。2. 受影响版本影响的漏洞范围JDK 9.0+Spring框架及衍生框架spring-beans-*.jar存在3.漏洞处置建议