描述

在 Spring Framework 5.3.0 - 5.3.13、5.2.0 - 5.2.18 版本以及更早的不受支持版本中，用户可能提供恶意输入，导致插入额外的日志条目。这是对 CVE-2021-22096 的后续，旨在防范更多类型的输入以及在 Spring Framework 代码库的更多位置。

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 至 5.3.13
  • 5.2.0 至 5.2.18
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施。5.3.x 用户应升级到 5.3.14+。5.2.x 用户应升级到 5.2.19+。无需其他步骤。已修复此问题的版本包括

• Spring Framework
  • 5.3.14+
  • 5.2.19+

致谢

此漏洞由 psytester 负责任地报告。

参考资料

• https://tanzu.vmware.com/security/cve-2021-22096

历史

• 2022-01-05：初始漏洞报告发布。