描述

在 Spring Framework 5.3.0 - 5.3.18、5.2.0 - 5.2.20 和更旧的未受支持版本中，DataBinder 上的 disallowedFields 模式区分大小写，这意味着除非字段同时列出了字段首字母的大写和小写形式（包括属性路径中所有嵌套字段的首字母的大写和小写形式），否则该字段不会得到有效保护。

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 到 5.3.18
  • 5.2.0 到 5.2.20
  • 更旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施：5.3.x 用户应升级到 5.3.19+。5.2.x 用户应升级到 5.2.21+。无需其他步骤，但应用程序还应审查其 DataBinder 配置，并更广泛地审查其数据绑定方法。有关更多详细信息，请参阅 Spring Framework 参考手册中的 数据绑定模型设计。已修复此问题的版本包括

• Spring Framework
  • 5.3.19+
  • 5.2.21+

鸣谢

此漏洞由 Spring Framework 团队内部发现，是对 CVE-2022-22965 的后续处理。

参考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
• https://cwe.mitre.org/data/definitions/178.html
• https://springframework.org.cn/blog/2022/04/13/spring-framework-data-binding-rules-vulnerability-cve-2022-22968

历史

• 2022-04-13：发布初始漏洞报告。