描述

CVE-2022-22968 的修复使得 DataBinder 中的 disallowedFields 模式不再区分大小写。然而，String.toLowerCase() 存在一些与区域设置相关的异常，这可能导致字段未按预期受到保护。

受影响的 Spring 产品…

描述

通过函数式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以精心制作恶意 HTTP 请求，并获取文件系统上任意文件，该文件也…

描述

通过函数式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以精心制作恶意 HTTP 请求，并获取文件系统上任意文件，该文件也…

描述

使用 spring-boot-loader 或 spring-boot-loader-classic 并包含执行嵌套 jar 文件签名验证的自定义代码的应用程序可能容易受到签名伪造的影响，其中内容似乎由一个实体签名…

描述

使用 @AuthorizeReturnObject 或 Spring Security 产生的 AuthorizationAdvisorProxyFactory @Bean 包装对象的应用程序可能不会应用所有安全建议。

当方法安全建议未应用时，这意味着像 @PreFilter 和 @PreAuthorize 这样的注解可能不起作用…

描述

在 Spring Framework 5.3.0 - 5.3.38 及更旧的不受支持版本中，用户可以提供经过特殊制作的 Spring Expression Language (SpEL) 表达式，这可能导致拒绝服务 (DoS) 情况。

具体而言，一个…

描述

从“If-Match”或“If-None-Match”请求头解析 ETag 的应用程序容易受到 DoS 攻击。

受影响的 Spring 产品和版本

Spring Framework

• 6.1.0 - 6.1.11
• 6.0.0 - 6.0.22
• 5.3.0 - 5.3.37
• 较旧的、不受支持的版本也受到影响
…

描述

Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理平台，部署在 Cloud Foundry 和 Kubernetes 中。Skipper 服务器具有接收上传包请求的能力。由于以下原因，存在很小的可能性…

描述

描述 在 Spring Cloud Function 框架中，4.1.x 版本早于 4.1.2，4.0.x 版本早于 4.0.8，当应用程序尝试与不存在的函数组合时，容易受到 DoS 攻击。

具体来说，应用程序是…

描述

Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理平台，部署在 Cloud Foundry 和 Kubernetes 中。Skipper 服务器具有接收上传包请求的能力。然而，由于上传路径未经过适当清理，一个…