Spring Security 安全性公告

所有公告

CVE-2022-22970:Spring Framework 透過資料繫結到 MultipartFile 或 Servlet Part 導致阻斷服務 (DoS)

| 2022 年 5 月 11 日 | CVE-2022-22970

描述

如果 Spring MVC 或 Spring WebFlux 應用程式處理檔案上傳,並且依賴資料繫結將 MultipartFile 或 javax.servlet.Part 設定到模型物件中的欄位,則容易受到 DoS 攻擊。

受影響的 Spring 產品和版本

  • Spring Framework
    • 5.3.0 至 5.3.19
    • 5.2.0 至 5.2.21
    • 較舊、不受支援的版本也受到影響

緩解措施

受影響版本的用戶應採用以下緩解措施:5.3.x 用戶應升級到 5.3.20;5.2.x 用戶應升級到 5.2.22。 無需其他步驟。 已修復此問題的版本包括

  • Spring Framework
    • 5.3.20
    • 5.2.22

鳴謝

Adobe Inc. 的 Rob Ryan 向 VMware 負責地報告了此漏洞。 Dbappsecurity 的 WeBin Lab 和 Arcesium 的 Vivek Sharm 也報告了相關的變體。

參考資料

歷史記錄

  • 2022-05-11:發布初始漏洞報告。

報告漏洞

若要報告 Spring portfolio 內專案的安全性漏洞,請參閱安全性原則

領先一步

VMware 提供培訓和認證,以加速您的進度。

瞭解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

瞭解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視全部