領先一步
VMware 提供培訓和認證,以加速您的進展。
了解更多Spring Security 安全性公告
CVE-2021-22096:Spring Framework 中的日誌注入漏洞
描述
在 Spring Framework 版本 5.3.0 - 5.3.10、5.2.0 - 5.2.17 和較舊的不支援版本中,使用者有可能提供惡意輸入,導致插入額外的日誌條目。
受影響的 Spring 產品和版本
- Spring Framework
- 5.3.0 至 5.3.10
- 5.2.0 至 5.2.17
- 較舊的,不受支援的版本也受到影響
緩解措施
受影響版本的使用者應採用以下緩解措施:5.3.x 使用者應升級到 5.3.12+,5.2.x 使用者應升級到 5.2.18+。 不需要其他步驟。 注意:5.3.11 也包含緩解措施,但有另一個主要的迴歸錯誤。 解決此問題的版本包括
- Spring Framework
- 5.3.12+
- 5.2.18+
致謝
此漏洞最初由 Dennis Kennedy 發現並負責地回報。
參考文獻
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/117.html
歷史紀錄
- 2021-10-26:發布初步漏洞報告。
回報漏洞
若要回報 Spring 產品組合中的專案的安全性漏洞,請參閱安全性政策