领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring 安全公告
CVE-2023-20861:Spring 表达式拒绝服务漏洞
描述
在 Spring Framework 6.0.0 - 6.0.6、5.3.0 - 5.3.25、5.2.0.RELEASE - 5.2.22.RELEASE 和更旧的、不受支持的版本中,用户可能提供特制 SpEL 表达式,这可能会导致拒绝服务 (DoS) 条件。
受影响的 Spring 产品和版本
- Spring Framework
- 6.0.0 至 6.0.6
- 5.3.0 至 5.3.25
- 5.2.0.RELEASE 至 5.2.22.RELEASE
- 较旧的、不受支持的版本也受影响
缓解措施
受影响版本的使用者应应用以下缓解措施:6.0.x 用户应升级到 6.0.7+;5.3.x 用户应升级到 5.3.26+;5.2.x 用户应升级到 5.2.23.RELEASE+;使用较旧、不受支持版本的使用者应升级到 6.0.7+ 或 5.3.26+。无需其他步骤。已修复此问题的版本包括:
- Spring Framework
- 6.0.7+
- 5.3.26+
- 5.2.23.RELEASE+
致谢
此漏洞最初由来自 Code Intelligence 的 Google OSS-Fuzz 团队发现并负责任地报告。
参考资料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/RL:O
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2023-03-20:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略