抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring 安全公告
CVE-2023-20863:Spring 表达式拒绝服务漏洞
描述
在 Spring Framework 6.0.0 - 6.0.7、5.3.0 - 5.3.26、5.2.0.RELEASE - 5.2.23.RELEASE 以及更旧的未受支持版本中,用户可能提供经过特殊设计的 SpEL 表达式,从而可能导致拒绝服务 (DoS) 情况。
受影响的 Spring 产品和版本
- Spring Framework
- 6.0.0 至 6.0.7
- 5.3.0 至 5.3.26
- 5.2.0.RELEASE 至 5.2.23.RELEASE
- 更旧的、不受支持的版本也受影响
缓解措施
受影响版本的使用者应应用以下缓解措施:6.0.x 用户应升级到 6.0.8+。5.3.x 用户应升级到 5.3.27+。5.2.x 用户应升级到 5.2.24.RELEASE+。更旧的、不受支持的版本的使用者应升级到 6.0.8+ 或 5.3.27+。无需执行其他步骤。已修复此问题的版本包括
- Spring Framework
- 6.0.8+
- 5.3.27+
- 5.2.24.RELEASE+
致谢
此漏洞最初由来自 Code Intelligence 的 Google OSS-Fuzz 团队发现并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/RL:O
- https://cwe.mitre.org/data/definitions/770.html
历史
- 2023-04-13:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略