描述

在 Spring Framework 版本 6.0.0 - 6.0.6、5.3.0 - 5.3.25、5.2.0.RELEASE - 5.2.22.RELEASE 以及更早的不受支持的版本中，用户可以提供一个精心制作的 SpEL 表达式，该表达式可能导致拒绝服务 (DoS) 情况。

受影响的 Spring 产品和版本

• Spring Framework
  • 6.0.0 到 6.0.6
  • 5.3.0 到 5.3.25
  • 5.2.0.RELEASE 到 5.2.22.RELEASE
  • 更早的，不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施：6.0.x 用户应升级到 6.0.7+。5.3.x 用户应升级到 5.3.26+。5.2.x 用户应升级到 5.2.23.RELEASE+。更早的不受支持版本的用户应升级到 6.0.7+ 或 5.3.26+。无需其他步骤。已修复此问题的版本包括

• Spring Framework
  • 6.0.7+
  • 5.3.26+
  • 5.2.23.RELEASE+

鸣谢

此漏洞最初由 Google OSS-Fuzz 团队从 Code Intelligence 发现并负责任地报告。

参考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/RL:O
• https://cwe.mitre.org/data/definitions/770.html

历史

• 2023-03-20：发布初始漏洞报告。