領先一步
VMware 提供訓練和認證,以加速您的進度。
了解更多Spring Security 安全性公告
CVE-2024-38808:Spring Expression DoS 漏洞
描述
在 Spring Framework 5.3.0 - 5.3.38 版本和更舊的不受支援版本中,使用者可以提供特製的 Spring Expression Language (SpEL) 表達式,這可能會導致阻斷服務 (DoS) 狀況。
具體而言,當符合以下條件時,應用程式容易受到攻擊
- 應用程式評估使用者提供的 SpEL 表達式。
受影響的 Spring 產品和版本
- Spring Framework
- 5.3.0 至 5.3.38
- 較舊、不受支援的版本也受到影響
緩解措施
受影響版本的用戶應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 5.3.x | 5.3.39 | OSS |
受影響版本的用戶應採用以下緩解措施:5.3.x 用戶應升級到 5.3.39+ 或 6.0+。應盡可能避免評估用戶提供的 SpEL 表達式;否則,用戶提供的 SpEL 表達式應在唯讀模式下使用 SimpleEvaluationContext 進行評估。不需要其他步驟。
已修復此問題的版本包括
- Spring Framework
- 5.3.39+
- 6.0+
貢獻
此問題由 popko 發現並負責任地回報。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
- https://cwe.mitre.org/data/definitions/770.html
歷史
- 2024-08-14:發布初始漏洞報告。
回報漏洞
若要回報 Spring 產品組合中專案的安全性漏洞,請參閱安全性政策