描述

在 Spring Framework 5.3.0 - 5.3.13、5.2.0 - 5.2.18 和更舊的不支援版本中，使用者可以提供惡意輸入，導致插入額外的日誌項目。這是 CVE-2021-22096 的後續，旨在保護 Spring Framework 程式碼庫中更多位置和更多類型的輸入。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 至 5.3.13
  • 5.2.0 至 5.2.18
  • 較舊的、不受支援的版本也會受到影響

緩解措施

受影響版本的使用者應採用以下緩解措施。5.3.x 使用者應升級至 5.3.14+。5.2.x 使用者應升級至 5.2.19+。無需其他步驟。已修復此問題的版本包括

• Spring Framework
  • 5.3.14+
  • 5.2.19+

貢獻

此漏洞由 psytester 負責地回報。

參考資料

• https://tanzu.vmware.com/security/cve-2021-22096

歷史記錄

• 2022-01-05：發布初始漏洞報告。