Spring Security 安全公告

所有公告

CVE-2024-22271:Spring Cloud Function Web 拒绝服务漏洞

中级 | 2024年6月19日 | CVE-2024-22271

描述

描述 在 Spring Cloud Function 框架中,4.1.x 版本(早于 4.1.2)和 4.0.x 版本(早于 4.0.8)的应用程序在尝试组合不存在的函数时容易受到拒绝服务 (DoS) 攻击。

具体来说,当满足以下所有条件时,应用程序存在漏洞:

用户正在使用 Spring Cloud Function Web 模块

受影响的 Spring 产品和版本:Spring Cloud Function Framework 4.1.0 至 4.1.1,4.0.0 至 4.0.7

参考链接 https://springframework.org.cn/security/cve-2022-22979 https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/ 历史记录 2020-01-16:首次发布漏洞报告。

缓解措施

受影响版本的使用者应升级到相应的已修复版本。

受影响版本 修复版本 可用性
4.1.0 4.1.2 开源
4.0.0 4.0.8 商业版

受影响版本的使用者应采取以下缓解措施:4.1.x 用户应升级到 4.1.2;4.0.x 用户应升级到 4.0.8。无需其他步骤。

致谢

此问题由来自 VNPT-VCI 的 *devme4f* 发现并负责地报告。

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看全部