领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-22271:Spring Cloud Function Web DOS 漏洞
描述
描述 在 Spring Cloud Function 框架中,4.1.x 版本早于 4.1.2,4.0.x 版本早于 4.0.8 的应用程序在尝试使用不存在的函数来组合函数时,容易受到 DOS 攻击。
具体来说,当所有以下条件都为真时,应用程序容易受到攻击
用户正在使用 Spring Cloud Function Web 模块
受影响的 Spring 产品和版本 Spring Cloud Function Framework 4.1.0 到 4.1.2 4.0.0 到 4.0.8
参考 https://springframework.org.cn/security/cve-2022-22979 https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/ 历史记录 2020-01-16:发布初始漏洞报告。
缓解措施
受影响版本的用户应升级到相应的已修复版本。
| 受影响的版本 | 修复版本 | 可用性 |
|---|---|---|
| 4.1.0 | 4.1.2 | 开源 |
| 4.0.0 | 4.0.8 | 商业 |
受影响版本的用户应应用以下缓解措施。 4.1.x 用户应升级到 4.1.2。 4.0.x 用户应升级到 4.0.8。 无需其他步骤。
鸣谢
此问题由来自 VNPT-VCI 的 devme4f 发现并负责任地报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略