领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-38808: Spring Expression DoS 漏洞
描述
在 Spring Framework 5.3.0 - 5.3.38 版本及更旧的不受支持版本中,用户可能提供特制的 Spring 表达式语言 (SpEL) 表达式,从而导致拒绝服务 (DoS) 状况。
具体来说,当以下情况属实时,应用程序易受攻击:
- 应用程序评估用户提供的 SpEL 表达式。
受影响的 Spring 产品和版本
- Spring Framework
- 5.3.0 到 5.3.38
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 5.3.x | 5.3.39 | OSS |
受影响版本的用户应采取以下缓解措施:5.3.x 用户应升级到 5.3.39+ 或 6.0+。应尽可能避免评估用户提供的 SpEL 表达式;否则,用户提供的 SpEL 表达式应在只读模式下使用 SimpleEvaluationContext 进行评估。无需其他步骤。
已修复此问题的发布版本包括
- Spring Framework
- 5.3.39+
- 6.0+
致谢
此问题由 popko 识别并负责任地报告。
参考资料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2024-08-14: 首次发布漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略