刚折腾完Log4J，又来一波Spring RCE 弹核级漏洞

今天 Spring 框架更新了一条可能造成 RCE（远程命令执行漏洞）的问题代码，如图：

随即在国内安全圈炸开了锅，大家纷纷转发一张图：

上次因为核弹级漏洞 log4j2 的 POC 公开，大批企业为了解决那个漏洞，纷纷升级 JDK 的版本，然而这次的漏洞恰好是在 jdk 9+ 版本存在，客户就很郁闷了，降级？log4j2 还没修完，再升级也没用，该怎么办？

已经有很多大厂的安全研究员对该漏洞进行了研究，并复现漏洞，下图是国内超级巨佬的复现截图：

弹计算机是验证命令执行漏洞存在的最常用的方式，当然，POC 已经被马赛克糊住了，如果你能把马赛克去掉，那么你也就有了该漏洞的 POC，这个时候，你就拥有了一个核弹级的漏洞武器，这是很危险的，权限越大，造成的危害越大。

对于企业来说，该怎么应对呢？肯定不能降低 jdk 的版本，可以临时解决该问题， 朋友圈已经开始传播解决方案，为大家提供一些建议：

1、有 waf 的企业，可以增加规则，拦截关键词 class、Class ，猜测 POC 中会有相关关键词，所以有这条规则

2、没有 waf，可以在代码层，增加关键词 class、Class的黑名单，调用 dataBinderDisallowFields 方法。

目前为止还没有 POC、EXP 公开，今晚可能又是个不眠夜，甲方安全从业者熬夜修漏洞，乙方安全研究员熬夜研究漏洞出解决方案，黑帽子、白帽子、灰帽子、绿帽子们熬夜坐等 POC、EXP，那么，你是否关注这个漏洞？