更进一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-22233:Spring Framework 服务器 Web DoS 漏洞
描述
在 Spring Framework 6.0.15 和 6.1.2 版本中,用户可以提供特别制作的 HTTP 请求,这可能导致拒绝服务 (DoS) 情况。
具体来说,当满足以下所有条件时,应用程序容易受到攻击
- 应用程序使用 Spring MVC
- 类路径上有 Spring Security 6.1.6+ 或 6.2.1+
通常,Spring Boot 应用程序需要 org.springframework.boot:spring-boot-starter-web 和 org.springframework.boot:spring-boot-starter-security 依赖项才能满足所有条件。
受影响的 Spring 产品和版本
Spring Framework
- 6.0.15
- 6.1.2
较旧的版本不受影响。
这些版本分别被 Spring Boot 3.1.7 和 3.2.1 使用。
缓解措施
受影响版本的用户应采取以下缓解措施。
- Spring Framework 6.0.15 用户应升级到 6.0.16。
- Spring Framework 6.1.2 用户应升级到 6.1.3。
不需要其他步骤。
鸣谢
此问题由以下人员发现并负责任地报告:
- Aleksander Blomskøld
- LiveOverflow (hextree.io), ZetaTwo, anasbekar, zzgoon, 0xLegacyy, xyzeva, AcroTiger
参考
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略