搶先一步
VMware 提供培訓和認證,以加速您的進展。
了解更多Spring Security 安全諮詢
CVE-2024-38820:Spring Framework DataBinder 區分大小寫比對例外
描述
CVE-2022-22968 的修復程式使 DataBinder 中的 disallowedFields 模式不區分大小寫。然而,String.toLowerCase() 有一些與地區設定相關的例外情況,可能會導致欄位未如預期受到保護。
受影響的 Spring 產品和版本
Spring Framework
- 5.3.0 - 5.3.40
- 6.0.0 - 6.0.24
- 6.1.0 - 6.1.13
- 較舊、不受支援的版本也受到影響
緩解措施
受影響版本的用戶應升級到對應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 5.3.x | 5.3.41 | 商業版 |
| 6.0.x | 6.0.25 | 商業版 |
| 6.1.x | 6.1.14 | OSS |
無需其他緩解步驟。
致謝
此漏洞由 Atlassian 的首席工程師 Marek Parfianowicz 負責地回報。
參考資料
回報漏洞
若要回報 Spring 系列專案中的安全漏洞,請參閱安全政策