领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2023-20861: Spring Expression DoS 漏洞
描述
在 Spring Framework 6.0.0 - 6.0.6、5.3.0 - 5.3.25、5.2.0.RELEASE - 5.2.22.RELEASE 版本以及不受支持的旧版本中,用户可以提供特制的 SpEL 表达式,这可能导致拒绝服务 (DoS) 情况。
受影响的 Spring 产品和版本
- Spring Framework
- 6.0.0 至 6.0.6
- 5.3.0 至 5.3.25
- 5.2.0.RELEASE 至 5.2.22.RELEASE
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应采取以下缓解措施:6.0.x 用户应升级到 6.0.7+。5.3.x 用户应升级到 5.3.26+。5.2.x 用户应升级到 5.2.23.RELEASE+。使用不受支持的旧版本的用户应升级到 6.0.7+ 或 5.3.26+。无需其他步骤。已修复此问题的版本包括:
- Spring Framework
- 6.0.7+
- 5.3.26+
- 5.2.23.RELEASE+
致谢
此漏洞最初由 Code Intelligence 的 Google OSS-Fuzz 团队发现并负责任地报告。
参考资料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/RL:O
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2023-03-20: 初始漏洞报告已发布。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略