描述

在 Spring Framework 版本 6.0.0 - 6.0.7、5.3.0 - 5.3.26、5.2.0.RELEASE - 5.2.23.RELEASE 以及更旧的不受支持的版本中，用户可以提供特制的 SpEL 表达式，可能导致拒绝服务 (DoS) 状况。

受影响的 Spring 产品和版本

• Spring Framework
  • 6.0.0 至 6.0.7
  • 5.3.0 至 5.3.26
  • 5.2.0.RELEASE 至 5.2.23.RELEASE
  • 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施：6.0.x 用户应升级到 6.0.8+。5.3.x 用户应升级到 5.3.27+。5.2.x 用户应升级到 5.2.24.RELEASE+。更旧的不受支持版本的用户应升级到 6.0.8+ 或 5.3.27+。无需其他步骤。已修复此问题的版本包括

• Spring Framework
  • 6.0.8+
  • 5.3.27+
  • 5.2.24.RELEASE+

鸣谢

此漏洞最初由来自 Code Intelligence 的 Google OSS-Fuzz 团队发现并负责任地报告。

参考资料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/RL:O
• https://cwe.mitre.org/data/definitions/770.html

历史

• 2023-04-13：发布初始漏洞报告。