Spring 安全公告

所有公告

CVE-2024-22243:Spring框架URL解析与主机验证漏洞

高危 | 2024年2月21日 | CVE-2024-22243

描述

使用UriComponentsBuilder解析外部提供的URL(例如,通过查询参数) *并且* 对解析的URL的主机执行验证检查的应用程序可能容易受到开放重定向攻击或SSRF攻击,如果URL在通过验证检查后使用。

受影响的Spring产品和版本

Spring Framework

  • 6.1.0 - 6.1.3
  • 6.0.0 - 6.0.16
  • 5.3.0 - 5.3.31
  • 较旧的、不受支持的版本也受影响

缓解措施

请按照以下步骤升级Spring Framework

  • 6.1.x 用户应升级到 6.1.4
  • 6.0.x 用户应升级到 6.0.17
  • 5.3.x 用户应升级到 5.3.32

无需其他步骤。

致谢

该问题由来自摩托罗拉解决方案公司的Sean Pesce发现并负责地报告。

报告漏洞

要报告Spring产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加快您的进步。

了解更多

获取支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看Spring社区中所有即将举行的活动。

查看全部