CVE-2024-38828: 带有 byte[] 参数的 Spring MVC 控制器方法存在 DoS 漏洞
中等 | 2024年11月15日 | CVE-2024-38828
描述
带有 @RequestBody byte[] 方法参数的 Spring MVC 控制器方法容易受到 DoS 攻击。
受影响的 Spring 产品和版本
Spring Framework
- 5.3.0 - 5.3.41
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 |
修复版本 |
可用性 |
| 5.3.x |
5.3.42 |
商业 |
无需进一步的缓解措施。
在较旧的、不受支持的版本中,应用程序可以声明一个 InputStream 方法参数来访问请求体。
致谢
此问题由 macter 负责任地报告。
参考资料
