Spring框架爆安全漏洞

Spring框架被爆能让攻击者远程执行代码Major flaw in Java-based Spring Framework allows remote-code execution by attackers


"它允许攻击者注入代码" Jeff Williams这么说, 他是 Aspect Security的CEO, 负责研究发现Spring框架在“语言表达expression language”方面的弱点。

Aspect Security 已经提交Spring开源社区解决这个问题,但是这种“remote code with expression-language injection”似乎不是那么容易真正解决,为了避免风险,建议程序员关闭expression-language功能。

Spring也将在下个版本缺省失效语言表达功能,如果一旦被攻击者利用,能够完全控制整个Web应用并且能够运行攻击者自己的代码。

本来还挺期待spring的这个el,正打算学学呢。。。看来先不用学了。。。