抢先一步
VMware 提供培训和认证,以加快您的进步。
了解更多Spring Security 安全公告
CVE-2022-22950:Spring 表达式拒绝服务漏洞
描述
在 Spring Framework 5.3.0 - 5.3.16、5.2.0 - 5.2.19 和更旧的已不受支持的版本中,用户可能提供一个特制的 SpEL 表达式,这可能导致拒绝服务情况。
受影响的 Spring 产品和版本
- Spring Framework
- 5.3.0 至 5.3.16
- 5.2.0 至 5.2.19
- 更旧的,不受支持的版本也受影响
缓解措施
受影响版本的使用者应应用以下缓解措施:5.3.x 用户应升级到 5.3.17+。5.2.x 用户应升级到 5.2.20+。无需执行其他步骤。已修复此问题的版本包括
- Spring Framework
- 5.3.17+
- 5.2.20+
致谢
此漏洞最初由 4ra1n 发现并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2022-03-28:发布初始漏洞报告。
- 2022-04-05:澄清修复已回滚到 Spring Framework 5.2.20。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅 安全策略