更进一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22096:Spring Framework 中的日志注入
描述
在 Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17 和更旧的不受支持的版本中,用户可以提供恶意输入以导致插入额外的日志条目。
受影响的 Spring 产品和版本
- Spring Framework
- 5.3.0 到 5.3.10
- 5.2.0 到 5.2.17
- 更旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应应用以下缓解措施:5.3.x 用户应升级到 5.3.12+,5.2.x 用户应升级到 5.2.18+。无需其他步骤。注意:5.3.11 也包含缓解措施,但有另一个主要回归。已修复此问题的版本包括
- Spring Framework
- 5.3.12+
- 5.2.18+
致谢
此漏洞最初由 Dennis Kennedy 发现并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/117.html
历史
- 2021-10-26:发布了初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中某个项目的安全漏洞,请参阅安全策略