描述

在Spring框架6.0.15和6.1.2版本中，用户可能提供特制的HTTP请求，从而导致拒绝服务(DoS)状态。

具体来说，当满足以下所有条件时，应用程序存在漏洞

• 应用程序使用Spring MVC
• Spring Security 6.1.6+ 或 6.2.1+ 在类路径上

通常，Spring Boot应用程序需要org.springframework.boot:spring-boot-starter-web和org.springframework.boot:spring-boot-starter-security依赖项才能满足所有条件。

受影响的Spring产品和版本

Spring框架

• 6.0.15
• 6.1.2

较旧的版本不受影响。

这些版本分别由Spring Boot 3.1.7和3.2.1使用。

缓解措施

受影响版本的使用者应应用以下缓解措施。

• Spring Framework 6.0.15用户应升级到6.0.16。
• Spring Framework 6.1.2用户应升级到6.1.3。

无需其他步骤。

致谢

此问题由以下人员识别并负责报告：

• Aleksander Blomskøld
• LiveOverflow (hextree.io), ZetaTwo, anasbekar, zzgoon, 0xLegacyy, xyzeva, AcroTiger

参考文献

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H&version=3.1