Spring Security 公告

CVE-2021-22060：Spring Framework 中的其他日志注入（CVE-2021-22096 的后续）

MEDIUM | 2022 年 1 月 5 日 | CVE-2021-22060

描述

在 Spring Framework 版本 5.3.0 - 5.3.13、5.2.0 - 5.2.18 以及更旧的不受支持的版本中，用户可以通过提供恶意输入来导致插入其他日志条目。这是 CVE-2021-22096 的后续，它可防止其他类型的输入并覆盖 Spring Framework 代码库的更多位置。

受影响的 Spring 产品和版本

Spring Framework
- 5.3.0 到 5.3.13
- 5.2.0 到 5.2.18
- 旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施。 5.3.x 用户应升级到 5.3.14+。 5.2.x 用户应升级到 5.2.19+。不需要其他步骤。包含此问题修复的版本包括

Spring Framework
- 5.3.14+
- 5.2.19+

鸣谢

此漏洞由 psytester 负责任地报告。

参考

https://tanzu.vmware.com/security/cve-2021-22096

历史

2022-01-05：发布了初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞，请参阅安全策略