在Spring Framework版本6.0.0-6.0.6、5.3.0-5.3.25、5.2.0.RELEASE-5.2.22.RELEASE以及旧版本的未受支持版本中,用户可以提供一个特制的SpEL表达式,可能会导致拒绝服务(DoS)情况。
受影响的Spring产品和版本
- Spring Framework
- 6.0.0至6.0.6
- 5.3.0至5.3.25
- 5.2.0.RELEASE至5.2.22.RELEASE
- 旧版本也受影响
缓解措施
受影响版本的用户应采取以下缓解措施:6.0.x用户应升级到6.0.7+。5.3.x用户应升级到5.3.26+。5.2.x用户应升级到5.2.23.RELEASE+。使用旧版本的用户应升级到6.0.7+或5.3.26+。不需要采取其他步骤。已解决此问题的版本包括:
- Spring Framework
- 6.0.7+
- 5.3.26+
- 5.2.23.RELEASE+
信用
此漏洞最初由Code Intelligence的Google OSS-Fuzz团队发现并负责报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/RL:O
- https://cwe.mitre.org/data/definitions/770.html
历史
- March 20, 2023:初始漏洞报告已发布。
THE END
暂无评论内容