领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2022-22950:Spring Expression DoS 漏洞
描述
在 Spring Framework 5.3.0 - 5.3.16、5.2.0 - 5.2.19 版本以及更老的、不受支持的版本中,用户可以提供经过特殊构造的 SpEL 表达式,这可能会导致拒绝服务条件。
受影响的 Spring 产品和版本
- Spring Framework
- 5.3.0 至 5.3.16
- 5.2.0 到 5.2.19
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本用户应采取以下缓解措施:5.3.x 用户应升级到 5.3.17+。5.2.x 用户应升级到 5.2.20+。无需其他步骤。已修复此问题的发布版本包括
- Spring Framework
- 5.3.17+
- 5.2.20+
致谢
此漏洞最初由 4ra1n 发现并负责任地报告。
参考资料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2022-03-28:初始漏洞报告发布。
- 2022-04-05:澄清了修复已向后移植到 Spring Framework 5.2.20。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略