先人一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22118:Spring Webflux Multipart Request 处理中的本地权限提升
描述
在 Spring Framework 中,版本 5.2.x 低于 5.2.15 和版本 5.3.x 低于 5.3.7,WebFlux 应用程序容易受到权限提升的攻击:通过(重新)创建临时存储目录,本地身份验证的恶意用户可以读取或修改已上传到 WebFlux 应用程序的文件,或使用 multipart 请求数据覆盖任意文件。
Spring MVC 应用程序不受此漏洞影响,不处理 multipart 文件请求的应用程序也不受影响。
受影响的 Spring 产品和版本
- Spring Framework
- 5.2.0 到 5.2.14
- 5.3.0 到 5.3.6
缓解措施
受影响版本的用户应应用以下缓解措施。5.3.x 用户应升级到 5.3.7。5.2.x 用户应升级到 5.2.15。无需其他步骤。已修复此问题的版本包括
- Spring Framework
- 5.3.7
- 5.2.15
贡献
此问题由来自 Viettel Cyber Security 的 Trung Pham 发现并负责任地报告。
参考
历史
- 2021-05-25:首次发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略