领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2025-22233: Spring Framework DataBinder 大小写敏感匹配异常 (第二次更新)
描述
CVE-2024-38820 确保了为配置的 disallowedFields 模式和请求参数名进行与区域设置无关的、小写转换。然而,仍然存在可以绕过 disallowedFields 检查的情况。
受影响的 Spring 产品和版本
Spring Framework
- 6.2.0 - 6.2.6
- 6.1.0 - 6.1.19
- 6.0.0 - 6.0.27
- 5.3.0 - 5.3.42
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 6.2.x | 6.2.7 | OSS |
| 6.1.x | 6.1.20 | OSS |
| 6.0.x | 6.0.28 | 商业 |
| 5.3.x | 5.3.43 | 商业 |
无需进一步的缓解措施。
通常,我们建议使用仅包含用于数据绑定的属性的专用模型对象,或使用构造函数绑定,因为构造函数参数明确声明了要绑定什么,并且通过 declarativeBinding 标志关闭了 Setter 绑定。请参阅参考文档中的模型设计部分。
对于 Setter 绑定,优先使用 allowedFields(显式列表)而不是 disallowedFields。
致谢
此问题由 NTT DATA 集团公司的 TERASOLUNA 框架开发团队负责任地报告。
参考资料
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略