描述

在 Spring Framework 5.3.0 - 5.3.38 以及更早的不受支持版本中，用户可以提供特制的 Spring 表达式语言 (SpEL) 表达式，从而可能导致拒绝服务 (DoS) 情况。

具体来说，当满足以下条件时，应用程序容易受到攻击

• 应用程序评估用户提供的 SpEL 表达式。

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 到 5.3.38
  • 较旧的不受支持的版本也会受到影响

缓解措施

受影响版本的用户应升级到相应的修复版本。

受影响版本的用户应应用以下缓解措施：5.3.x 用户应升级到 5.3.39+ 或 6.0+。应尽可能避免评估用户提供的 SpEL 表达式；否则，应在只读模式下使用 SimpleEvaluationContext 评估用户提供的 SpEL 表达式。无需其他步骤。

已修复此问题的版本包括

• Spring Framework
  • 5.3.39+
  • 6.0+

鸣谢

此问题由 popko 发现并负责任地报告。

参考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
• https://cwe.mitre.org/data/definitions/770.html

历史

• 2024-08-14：发布初始漏洞报告。