Spring 安全公告

所有公告

CVE-2022-31691:Eclipse 和 VSCode 的 STS4 扩展中的 YAML 编辑器远程代码执行漏洞

中危 | 2022年11月3日 | CVE-2022-31691

描述

Eclipse 版 Spring Tools 4 的 **4.16.0 及以下版本**,以及 VSCode 扩展(如 Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor 和 Cloudfoundry Manifest YML Support 的 **1.39.0 及以下版本**)都使用 Snakeyaml 库进行 YAML 编辑支持。此库允许在 YAML 中使用某些特殊语法,在特定情况下,攻击者可能会利用这些语法执行潜在有害的远程代码。

受影响的 Spring 产品和版本

  • Spring Tools 4 for Eclipse:Spring Tool Suite
    • 4.0.0 - 4.16.0
  • VSCode 扩展:Spring Boot Tools
    • 1.0.0 - 1.39.0
  • VSCode 扩展:Concourse CI Pipeline Editor
    • 1.0.0 - 1.39.0
  • VSCode 扩展:Bosh Editor
    • 1.0.0 - 1.39.0
  • VSCode 扩展:Cloudfoundry Manifest YML Support
    • 1.0.0 - 1.39.0

缓解措施

受影响版本的使用者应采取以下缓解措施。STS4 Eclipse 应升级到 4.16.1 或更高版本。VSCode 扩展:Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor、Cloudfoundry Manifest YML Support 应升级到 1.40.0 或更高版本。已修复此问题的版本包括:

  • Eclipse:STS
    • 4.16.1
  • VSCode:Spring Boot Tools
    • 1.40.0
  • VSCode:Concourse CI Pipeline Editor
    • 1.40.0
  • VSCode:Bosh Editor
    • 1.40.0
  • VSCode:Cloudfoundry Manifest YML Support
    • 1.40.0

致谢

此问题由来自 NSFOCUS 天机实验室的张泽伟负责发现并报告。

参考

历史

  • 2022-11-03:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加快您的进步。

了解更多

获取支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看全部