CVE-2024-38828:透過帶有 byte[] 參數的 Spring MVC 控制器方法進行 DoS 攻擊
中等 | 2024 年 11 月 15 日 | CVE-2024-38828
描述
具有 @RequestBody byte[] 方法參數的 Spring MVC 控制器方法容易受到 DoS 攻擊。
受影響的 Spring 產品和版本
Spring Framework
- 5.3.0 - 5.3.41
- 較舊、不受支援的版本也受到影響
緩解措施
受影響版本的用戶應升級到對應的修復版本。
| 受影響的版本 |
修復版本 |
可用性 |
| 5.3.x |
5.3.42 |
商業 |
無需進一步的緩解步驟。
在較舊、不受支援的版本中,應用程式可以宣告 InputStream 方法參數來存取請求 body。
致謝
此問題由 macter 負責任地回報。
參考資料
