Spring Security 安全性公告

所有公告

CVE-2022-31691:透過 Eclipse 和 VSCode 的 STS4 擴充功能中的 YAML 編輯器進行遠端程式碼執行

中等 | 2022 年 11 月 03 日 | CVE-2022-31691

描述

適用於 Eclipse 的 Spring Tools 4 4.16.0 及更早版本,以及 VSCode 擴充功能 (例如 Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor 和 Cloudfoundry Manifest YML Support) 1.39.0 及更早版本,皆使用 Snakeyaml 函式庫來提供 YAML 編輯支援。此函式庫允許 YAML 中存在某些特殊語法,在特定情況下,攻擊者可以透過這些語法執行潛在的有害遠端程式碼。

受影響的 Spring 產品和版本

  • 適用於 Eclipse 的 Spring Tools 4:Spring Tool Suite
    • 4.0.0 - 4.16.0
  • VSCode 擴充功能:Spring Boot Tools
    • 1.0.0 - 1.39.0
  • VSCode 擴充功能:Concourse CI Pipeline Editor
    • 1.0.0 - 1.39.0
  • VSCode 擴充功能:Bosh Editor
    • 1.0.0 - 1.39.0
  • VSCode 擴充功能:Cloudfoundry Manifest YML Support
    • 1.0.0 - 1.39.0

缓解措施

受影響版本的用戶應套用以下缓解措施。STS4 Eclipse 應升級至 4.16.1 或更高版本。VSCode 擴充功能:Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor、Cloudfoundry Manifest YML Support 應升級至 1.40.0 或更高版本。已修復此問題的版本包括

  • Eclipse:STS
    • 4.16.1
  • VSCode:Spring Boot Tools
    • 1.40.0
  • VSCode:Concourse CI Pipeline Editor
    • 1.40.0
  • VSCode:Bosh Editor
    • 1.40.0
  • VSCode:Cloudfoundry Manifest YML Support
    • 1.40.0

致謝

此問題由 NSFOCUS TIANJI Lab 的 Zewei Zhang 發現並負責地回報。

參考資料

歷史記錄

  • 2022-11-03:發布初始漏洞報告。

回報漏洞

要回報 Spring 系列專案中的安全性漏洞,請參閱安全性政策

領先一步

VMware 提供培訓和認證,以加速您的進展。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

查看全部