spring-boot-whitelabel-spel
| ID: | 16742 |
|---|---|
| 标题: | spring-boot-whitelabel-spel |
| 描述: | spring-boot-whitelabel-spel vulfocus/spring-boot_whitelabel_spel:latest spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholderHelper 类中 此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。 其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解析执行,造成 RCE 漏洞。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索spring-boot-whitelabel-spel |