Spring安全公告

所有公告

CVE-2022-22970:Spring框架通过数据绑定到MultipartFile或Servlet Part导致的拒绝服务漏洞

中等 | 2022年5月11日 | CVE-2022-22970

描述

如果Spring MVC或Spring WebFlux应用程序处理文件上传时依赖于数据绑定来将MultipartFile或javax.servlet.Part设置为模型对象中的字段,则容易受到DoS攻击。

受影响的Spring产品和版本

  • Spring Framework
    • 5.3.0 至 5.3.19
    • 5.2.0 至 5.2.21
    • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施:5.3.x 用户应升级到 5.3.20;5.2.x 用户应升级到 5.2.22。无需其他步骤。已修复此问题的版本包括:

  • Spring Framework
    • 5.3.20
    • 5.2.22

致谢

Adobe Inc. 的 Rob Ryan 负责任地向 VMware 报告了此漏洞。Dbappsecurity 的 WeBin Lab 和 Arcesium 的 Vivek Sharm 也报告了相关的变体。

参考资料

历史记录

  • 2022-05-11:发布初始漏洞报告。

报告漏洞

要报告Spring产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看Spring社区中所有即将举行的活动。

查看全部