描述

在 Spring Framework 版本 5.3.0 - 5.3.18、5.2.0 - 5.2.20 以及較舊的不支援版本中，DataBinder 上 disallowedFields 的模式區分大小寫，這表示除非該欄位的首字以及屬性路徑中所有巢狀欄位的首字都以大寫和小寫列出，否則無法有效保護該欄位。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 到 5.3.18
  • 5.2.0 到 5.2.20
  • 較舊的不支援版本也會受到影響

缓解措施

受影響版本的用戶應套用以下缓解措施：5.3.x 用戶應升級到 5.3.19+。5.2.x 用戶應升級到 5.2.21+。無需其他步驟，但應用程式也應檢查其 DataBinder 配置，更廣泛地檢查其資料繫結方法。有關更多詳細資訊，請參閱 Spring Framework 參考手冊中的資料繫結模型設計。已修復此問題的版本包括

• Spring Framework
  • 5.3.19+
  • 5.2.21+

致謝

此漏洞由 Spring Framework 團隊內部發現，是 CVE-2022-22965 的後續。

參考資料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
• https://cwe.mitre.org/data/definitions/178.html
• https://spring.dev.org.tw/blog/2022/04/13/spring-framework-data-binding-rules-vulnerability-cve-2022-22968

歷史記錄

• 2022-04-13：發佈初始漏洞報告。