Spring Security 安全公告

所有公告

CVE-2024-22243:Spring Framework URL 解析與主機驗證

| 2024 年 2 月 21 日 | CVE-2024-22243

描述

使用 UriComponentsBuilder 解析外部提供的 URL (例如,透過查詢參數) 對已解析 URL 的主機執行驗證檢查的應用程式,可能會受到 開放式重新導向 攻擊,或如果 URL 在通過驗證檢查後使用,則可能會受到 SSRF 攻擊。

受影響的 Spring 產品和版本

Spring Framework

  • 6.1.0 - 6.1.3
  • 6.0.0 - 6.0.16
  • 5.3.0 - 5.3.31
  • 較舊、不受支援的版本也會受到影響

緩解措施

升級 Spring Framework,如下所示

  • 6.1.x 使用者應升級至 6.1.4
  • 6.0.x 使用者應升級至 6.0.17
  • 5.3.x 使用者應升級至 5.3.32

無需其他步驟。

貢獻

此問題由 Motorola Solutions 的 Sean Pesce 發現並負責地報告。

報告漏洞

若要報告 Spring 產品組合中專案的安全漏洞,請參閱安全策略

搶先一步

VMware 提供培訓和認證,加速您的進度。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供對 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視全部