各处、院、馆、中心，工会、妇联、团委:

2022年4月24日，国家网络与信息安全信息通报中心（以下简称“国家通报中心”）、云南省网络与信息安全信息通报中心（以下简称“省通报中心”）等部门对近期监测到的漏洞和安全隐患进行了通报预警，具体事项如下：

一、关于Spring Framework存在漏洞的通报

据国家通报中心通报，开源应用框架Spring Framework存在远程代码执行漏洞（漏洞编号：CVE2022-22965），经分析研判，在JDK（Java开发工具包）9及以上版本环境中，攻击者可利用该漏洞执行远程命令，进而控制目标主机。

鉴于Spring Framework应用广泛，该漏洞影响范围极大，请涉及部门（单位）高度重视，立即开展以下工作：

（一）全面梳理排查。全面梳理排查本部门（单位）负责管理的信息系统，尽快联系对应厂商排查SpringFramework的使用情况及资产受影响情况，在确定安全的前提下及时修复漏洞、消除隐患。

（二）加强安全防护。及时开展信息系统自检自查和安全加固，提高系统安全防护能力，严防发生网络安全事件。

（三）加强应急处置。要进一步紧盯本部门所管理信息系统的安全情况，一旦发现疑似安全事件要及时报告信息中心开展处置。

（四）定期进行数据备份，尽量进行异地备份。

（五）目前，Spring官方已发布SpringFramework漏洞修复版本5.3.18和5.2.20（参考链接：https://github.com/spring-projects/spring-framework; https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement）。

二、关于全省重要网站及信息系统存在安全隐患的通报

近期，省通报中心对全省重要网站及信息系统开展安全监测，发现14个网站存在中危以上安全隐患。其中，高危网站11个，中危网站3个。经分析，紧急漏洞占比多为Cookie SQL注入漏洞5个，高危漏洞占比最大为跨站脚本漏洞148个，中危漏洞占比最大为KindEditor文件上传漏洞2个。根据省通报中心的建议和要求，请涉及部门（单位）高度重视，立即开展以下工作：

（一）尽快联系信息系统厂商，优化升级信息系统及其数据库系统的安全策略，严格限制用户提交数据的字符集、长度、类型等属性。

（二）尽量限制用户使用参数化筛选语句和避免使用解释程序。

（三）及时更新系统插件版本，定期检测系统目录下可疑文件。

（四）定期查看系统访问日志，对存在异常行为的访问账户进行限制。

（五）及时删除用户上传的可疑文件。

（六）对重点网站及信息系统的服务器，定期进行木马、病毒查杀和操作系统升级。

（七）提升登录口令的安全性配置，设置复杂的登录口令，并定期清理使用弱口令、默认口令的用户账号。

（八）定期进行数据备份，尽量进行异地备份。

三、工作要求

请涉及的部门（单位）高度重视，组织开展好本次信息系统安全隐患排查工作，对本部门（单位）负责的信息系统和网站进行拉网式排查，对发现的问题及时整改。并于5月3日前将本部门（单位）排查整改的情况说明及信息系统厂商出具的排查整改报告通过OA系统报信息中心。

信息中心联系人：

侯冬青 13988306993

袁国麟 15012095971

信息中心

2022年4月26日