领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-22271: Spring Cloud Function Web DOS 漏洞
描述
描述 在 Spring Cloud Function 框架中,版本 4.1.x 早于 4.1.2,版本 4.0.x 早于 4.0.8,当应用程序尝试使用不存在的函数组合函数时,容易受到 DOS 攻击。
具体来说,当以下所有情况都为真时,应用程序是易受攻击的
用户正在使用 Spring Cloud Function Web 模块
受影响的 Spring 产品和版本 Spring Cloud Function 框架 4.1.0 至 4.1.2 4.0.0 至 4.0.8
参考资料 https://springjava.cn/security/cve-2022-22979 https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/ 历史 2020-01-16:首次漏洞报告发布。
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 4.1.0 | 4.1.2 | OSS |
| 4.0.0 | 4.0.8 | 商业 |
受影响版本的用户应采用以下缓解措施。4.1.x 用户应升级到 4.1.2。4.0.x 用户应升级到 4.0.8。无需其他步骤。
致谢
此问题由 VNPT-VCI 的 devme4f 识别并负责任地报告
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略