Spring Security 建议

RSS 源

CVE-2022-22971: Spring Framework 通过 WebSocket 上的 STOMP 导致 DoS

中等 | 2022年5月11日 | CVE-2022-22971

描述

具有 WebSocket 上的 STOMP 端点的 Spring 应用程序容易受到已认证用户的拒绝服务攻击。

受影响的 Spring 产品和版本

  • Spring Framework
    • 5.3.0至5.3.19
    • 5.2.0至5.2.21
    • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应采用以下缓解措施:5.3.x用户应升级到5.3.20;5.2.x用户应升级到5.2.22。无需其他步骤。已修复此问题的版本包括:

  • Spring Framework
    • 5.3.20
    • 5.2.22

致谢

此漏洞由 HMS Industrial Networks, Business Unit Ewon, R&D Department - Software 的 David Delbecq 和 Rémy Vermeiren 负责任地报告给 VMware。

参考资料

历史

  • 2022-05-11: 初步漏洞报告发布。

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,助您加速进步。

了解更多

获得支持

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件,只需一份简单的订阅。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看所有