領先一步
VMware 提供培訓和認證,可加速您的進度。
了解更多Spring Security 安全性公告
CVE-2023-20863:Spring Expression DoS 漏洞
描述
在 Spring Framework 版本 6.0.0 - 6.0.7、5.3.0 - 5.3.26、5.2.0.RELEASE - 5.2.23.RELEASE 以及較舊的不支援版本中,使用者可能提供一個特別製作的 SpEL 運算式,導致阻斷服務 (DoS) 的狀況。
受影響的 Spring 產品和版本
- Spring Framework
- 6.0.0 至 6.0.7
- 5.3.0 至 5.3.26
- 5.2.0.RELEASE 至 5.2.23.RELEASE
- 較舊的不支援版本也會受到影響
緩解措施
受影響版本的使用者應套用以下緩解措施:6.0.x 使用者應升級至 6.0.8+。5.3.x 使用者應升級至 5.3.27+。5.2.x 使用者應升級至 5.2.24.RELEASE+。較舊的不支援版本的使用者應升級至 6.0.8+ 或 5.3.27+。不需要其他步驟。已修復此問題的版本包括
- Spring Framework
- 6.0.8+
- 5.3.27+
- 5.2.24.RELEASE+
致謝
此漏洞最初由 Code Intelligence 的 Google OSS-Fuzz 團隊發現並負責報告。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/RL:O
- https://cwe.mitre.org/data/definitions/770.html
歷史記錄
- 2023-04-13:發布了初始漏洞報告。
報告漏洞
要報告 Spring 系列專案中的安全性漏洞,請參閱安全性原則