CVE-2024-38828:通过带有 byte[] 参数的 Spring MVC 控制器方法实现的 DoS 攻击
MEDIUM | 2024 年 11 月 15 日 | CVE-2024-38828
描述
具有 @RequestBody byte[] 方法参数的 Spring MVC 控制器方法容易受到 DoS 攻击。
受影响的 Spring 产品和版本
Spring Framework
- 5.3.0 - 5.3.41
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响的版本 |
修复版本 |
可用性 |
| 5.3.x |
5.3.42 |
商业 |
无需采取进一步的缓解措施。
在较旧的、不受支持的版本中,应用程序可以声明一个 InputStream 方法参数来访问请求体。
致谢
此问题由 macter 负责任地报告。
参考文献
