Spring Security 安全公告

RSS 订阅

CVE-2024-22243:Spring Framework URL解析中的主机验证问题

高危 | 2024 年 2 月 21 日 | CVE-2024-22243

描述

使用UriComponentsBuilder解析外部提供的 URL(例如通过查询参数),*并且* 对解析后的 URL 的主机执行验证检查的应用程序,可能容易受到 开放重定向 攻击或 SSRF 攻击(如果在通过验证检查后使用该 URL)。

受影响的 Spring 产品和版本

Spring Framework

  • 6.1.0 - 6.1.3
  • 6.0.0 - 6.0.16
  • 5.3.0 - 5.3.31
  • 较旧的、不受支持的版本也会受到影响

缓解措施

请按如下方式升级 Spring Framework

  • 6.1.x 用户应升级到 6.1.4
  • 6.0.x 用户应升级到 6.0.17
  • 5.3.x 用户应升级到 5.3.32

无需其他步骤。

鸣谢

该问题由 Motorola Solutions 的 Sean Pesce 发现并负责任地报告。

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

取得领先

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部