领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2022-22950:Spring Expression DoS 漏洞
描述
在 Spring Framework 5.3.0 - 5.3.16、5.2.0 - 5.2.19 以及更旧的不受支持版本中,用户可以提供专门设计的 SpEL 表达式,这可能导致拒绝服务情况。
受影响的 Spring 产品和版本
- Spring Framework
- 5.3.0 到 5.3.16
- 5.2.0 到 5.2.19
- 更旧的、不受支持的版本也受影响
缓解措施
受影响版本的用户应应用以下缓解措施:5.3.x 用户应升级到 5.3.17+。5.2.x 用户应升级到 5.2.20+。 不需要其他步骤。 已修复此问题的版本包括
- Spring Framework
- 5.3.17+
- 5.2.20+
鸣谢
此漏洞最初由 4ra1n 发现并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/770.html
历史记录
- 2022-03-28:发布初始漏洞报告。
- 2022-04-05:澄清修复已向后移植到 Spring Framework 5.2.20。
报告漏洞
要报告 Spring 产品组合中某个项目的安全漏洞,请参阅安全策略