抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2024-38808:Spring 表达式拒绝服务漏洞
描述
在 Spring 框架 5.3.0 - 5.3.38 和更旧的未受支持版本中,用户可能提供精心制作的 Spring 表达式语言 (SpEL) 表达式,这可能导致拒绝服务 (DoS) 情况。
具体来说,当以下条件成立时,应用程序存在漏洞
- 应用程序评估用户提供的 SpEL 表达式。
受影响的 Spring 产品和版本
- Spring 框架
- 5.3.0 至 5.3.38
- 更旧的、不受支持的版本也受影响
缓解措施
受影响版本的使用者应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 5.3.x | 5.3.39 | OSS |
受影响版本的使用者应应用以下缓解措施:5.3.x 用户应升级到 5.3.39+ 或 6.0+。应尽可能避免评估用户提供的 SpEL 表达式;否则,应使用 SimpleEvaluationContext 在只读模式下评估用户提供的 SpEL 表达式。无需执行其他步骤。
已修复此问题的版本包括
- Spring 框架
- 5.3.39+
- 6.0+
致谢
此问题由 popko 识别并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2024-08-14:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅 安全策略