CVE-2024-38828:通过带有 byte[] 参数的 Spring MVC 控制器方法导致拒绝服务
中等 | 2024年11月15日 | CVE-2024-38828
描述
使用@RequestBody byte[]方法参数的 Spring MVC 控制器方法容易受到拒绝服务攻击。
受影响的 Spring 产品和版本
Spring Framework
- 5.3.0 - 5.3.41
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的使用者应升级到相应的修复版本。
| 受影响的版本 |
修复版本 |
可用性 |
| 5.3.x |
5.3.42 |
商业版 |
无需采取其他缓解措施。
在较旧的、不受支持的版本中,应用程序可以声明一个 InputStream 方法参数以访问请求主体。
致谢
此问题由 macter 负责报告。
参考
