CVE-2023-20861:Spring Expression DoS漏洞

在Spring Framework版本6.0.0-6.0.6、5.3.0-5.3.25、5.2.0.RELEASE-5.2.22.RELEASE以及旧版本的未受支持版本中,用户可以提供一个特制的SpEL表达式,可能会导致拒绝服务(DoS)情况。

受影响的Spring产品和版本

  • Spring Framework
    • 6.0.0至6.0.6
    • 5.3.0至5.3.25
    • 5.2.0.RELEASE至5.2.22.RELEASE
    • 旧版本也受影响

缓解措施

受影响版本的用户应采取以下缓解措施:6.0.x用户应升级到6.0.7+。5.3.x用户应升级到5.3.26+。5.2.x用户应升级到5.2.23.RELEASE+。使用旧版本的用户应升级到6.0.7+或5.3.26+。不需要采取其他步骤。已解决此问题的版本包括:

  • Spring Framework
    • 6.0.7+
    • 5.3.26+
    • 5.2.23.RELEASE+

信用

此漏洞最初由Code Intelligence的Google OSS-Fuzz团队发现并负责报告。

参考

历史

  • March 20, 2023:初始漏洞报告已发布。
THE END
喜欢就支持一下吧
点赞6 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容