領先一步
VMware 提供培訓和認證,以加速您的進展。
瞭解更多Spring Security 安全性建議
CVE-2023-20861:Spring Expression DoS 漏洞
描述
在 Spring Framework 6.0.0 - 6.0.6、5.3.0 - 5.3.25、5.2.0.RELEASE - 5.2.22.RELEASE 版本,以及較舊的不受支援版本中,使用者可以提供特製的 SpEL 表達式,這可能會導致阻斷服務 (DoS) 的情況。
受影響的 Spring 產品和版本
- Spring Framework
- 6.0.0 至 6.0.6
- 5.3.0 至 5.3.25
- 5.2.0.RELEASE 至 5.2.22.RELEASE
- 較舊的、不受支援的版本也會受到影響
缓解措施
受影響版本的用戶應採取以下緩解措施:6.0.x 用戶應升級到 6.0.7+。5.3.x 用戶應升級到 5.3.26+。5.2.x 用戶應升級到 5.2.23.RELEASE+。較舊的不受支援版本的用戶應升級到 6.0.7+ 或 5.3.26+。無需其他步驟。已修復此問題的版本包括
- Spring Framework
- 6.0.7+
- 5.3.26+
- 5.2.23.RELEASE+
貢獻
此漏洞最初由 Google OSS-Fuzz 團隊的 Code Intelligence 發現並負責回報。
參考文獻
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/RL:O
- https://cwe.mitre.org/data/definitions/770.html
歷史記錄
- 2023-03-20:發布初始漏洞報告。
回報漏洞
若要回報 Spring 組合中的專案安全性漏洞,請參閱安全性政策