描述

在Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17以及更旧的未受支持版本中，用户可能提供恶意输入，从而导致插入额外的日志条目。

受影响的Spring产品和版本

• Spring Framework
  • 5.3.0 到 5.3.10
  • 5.2.0 到 5.2.17
  • 更旧的、未受支持的版本也受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施：5.3.x 用户应升级到 5.3.12+，5.2.x 用户应升级到 5.2.18+。无需其他步骤。注意：5.3.11 也包含缓解措施，但存在另一个重大回归。已修复此问题的版本包括

• Spring Framework
  • 5.3.12+
  • 5.2.18+

致谢

此漏洞最初由Dennis Kennedy发现并负责任地报告。

参考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
• https://cwe.mitre.org/data/definitions/117.html

历史

• 2021-10-26：发布初始漏洞报告。