끄적끄적

Concept Spring Core에서 발생하는 RCE 취약점으로, Spring Framework의 getCachedIntrospectionResults 메소드가 매개변수를 바인딩 시 Class 객체를 외부에 노출 Detail 사용자가 파라미터 값을 설정하여 요청 시, Spring Framework의 Requset Binding 프로세스(bindRequsetParameter)는 getCachedIntrospectionResults 메소드를 호출 이때, 캐시의 개체 속성(Property)을 불러오고 설정하는 과정에서 반환 객체에 Class 개체가 포함되어 취약점 발생 즉, 사용자가 GET, POST 등의 방식으로 파라미터를 통해 Class 개체에 접근 가능 CVE-2010-1622 연계 CachedIntr..