描述

在Spring Framework 5.3.0 - 5.3.13、5.2.0 - 5.2.18以及更旧的无支持版本中，用户可能提供恶意输入，从而导致插入额外的日志条目。这是对CVE-2021-22096的后续处理，该漏洞修复了更多类型的输入，并修复了Spring Framework代码库中更多位置的漏洞。

受影响的Spring产品和版本

• Spring Framework
  • 5.3.0 到 5.3.13
  • 5.2.0 到 5.2.18
  • 较旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施。5.3.x 用户应升级到 5.3.14+。5.2.x 用户应升级到 5.2.19+。无需其他步骤。已修复此问题的版本包括：

• Spring Framework
  • 5.3.14+
  • 5.2.19+

致谢

此漏洞由 psytester 负责报告。

参考文献

• https://tanzu.vmware.com/security/cve-2021-22096

历史记录

• 2022-01-05：发布初始漏洞报告。