高危漏洞的曝光總是發生在意想不到的時刻：周末所有人都準備享受周末的時間，Spring Boot框架的SpEL表達式注入通用漏洞曝光，利用該漏洞，遠程攻擊者在服務器上可執行任意命令——該漏洞影響Spring Boot版本從1.1-1.3.0，建議在使用存在此缺陷版本Spring Boot的企業立即將之升級至1.3.1或以上版本。

具體的漏洞預警報告如下：

影響范圍：Spring Boot版本1.1-1.3.0

修復方案：升級Spring Boot版本至1.3.1或以上版本

Spring是2003年興起的輕量級Java開發框架。任何Java應用都可以使用該框架的核心特性，在Java EE平臺之上有可用于構建Web應用的擴展。

而這里的Spring Boot則是Spring框架的一個核心子項目，是為構建獨立、生產級Spring應用的約定優于配置（convention-over-configuration）解決方案。絕大部分Spring Boot應用都只需要極少的Spring配置即可。

Spring Boot能夠大大提升使用Spring框架時的開發效率，于是國內很多企業在用它。國內包括百度、阿里巴巴、騰訊等諸多知名企業都在使用該框架。

FreeBuf將持續跟蹤報道該漏洞細節及后續動態，請關注。

目前網藤風險感知系統（crs.vulbox.com）已支持該漏洞檢測。您可以免費申請試用網藤漏洞感知服務。