领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2021-22096: Spring Framework 中的日志注入
描述
在 Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17 版本以及更旧的不受支持版本中,用户可能提供恶意输入,导致插入额外的日志条目。
受影响的 Spring 产品和版本
- Spring Framework
- 5.3.0 到 5.3.10
- 5.2.0 到 5.2.17
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应采取以下缓解措施:5.3.x 用户应升级到 5.3.12+,5.2.x 用户应升级到 5.2.18+。无需其他步骤。注意:5.3.11 也包含此缓解措施,但存在另一个重大回归。已修复此问题的版本包括
- Spring Framework
- 5.3.12+
- 5.2.18+
致谢
此漏洞由 Dennis Kennedy 初次发现并负责任地报告。
参考资料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/117.html
历史
- 2021-10-26: 最初的漏洞报告已发布。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略