Spring 安全通告

RSS 源

此页面列出了 Spring 安全通告。

CVE-2024-22258:Spring Authorization Server 中的 PKCE 降级漏洞

中等级别 | 2024年3月19日 | CVE-2024-22258

描述

Spring Authorization Server 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 版本以及不受支持的旧版本,容易受到针对 Confidential Client 的 PKCE 降级攻击。

具体来说,当 Confidential Client 在 Authorization Code 中使用 PKCE 时,应用程序就存在漏洞…

CVE-2024-22236:通过使用不安全权限创建的临时目录导致本地信息泄露

低等级别 | 2024年1月30日 | CVE-2024-22236

描述

Spring Cloud Contract 4.1.x 低于 4.1.1 版本、4.0.x 低于 4.0.5 版本以及 3.1.x 低于 3.1.10 版本,通过 org.springframework.cloud:spring-cloud-contract-shade 依赖中的阴影 (shaded) 依赖 com.google.guava:guava,测试执行容易受到通过使用不安全权限创建的临时目录导致的本地信息泄露的影响。

受影响的 Spring 产品和版本

  • Spring Cloud Contract
    • 4.1.0
    • 4.0.0 至 4.0.5
    • 3.1.0 至 3.1.10

缓解措施

将 Spring Cloud Contract 升级到 3.1.10 或 4.0.5 或 4.1.1 版本。

受影响版本的用户应采取以下缓解措施。4.1.x 用户应升级到 4.1.1 版本。 4.0.x 用户应升级到 4.0.5 版本。 3.1.x 用户应升级到 3.1.10 版本。 无需其他步骤。  已修复此问题的版本包括

  • Spring Cloud Contract
    • 4.1.1
    • 4.0.5
    • 3.1.10

致谢

此问题由来自 Oddball 的 Michael Kimball 发现并负责任地报告。

参考资料

CVE-2024-22233:Spring Framework 服务器 Web DoS 漏洞

高等级别 | 2024年1月22日 | CVE-2024-22233

描述

在 Spring Framework 6.0.15 和 6.1.2 版本中,用户可以提供经过特殊构造的 HTTP 请求,从而可能导致拒绝服务 (DoS) 情况。

具体来说,当满足以下所有条件时,应用程序存在漏洞:

  • 应用程序使用 Spring MVC
  • Spring Security 6.1.6+ 或 6.2.1+ 在 classpath 中

CVE-2023-34053:Spring Framework 服务器 Web Observations DoS 漏洞

中等级别 | 2023年11月27日 | CVE-2023-34053

描述

在 Spring Framework 6.0.0 - 6.0.13 版本中,用户可以提供经过特殊构造的 HTTP 请求,从而可能导致拒绝服务 (DoS) 情况。

具体来说,当满足以下所有条件时,应用程序存在漏洞:

  • 应用程序使用 Spring MVC 或 Spring WebFlux
  • io.micrometer:micrometer-core 在 classpath 中
  • 在应用程序中配置了 ObservationRegistry 来记录 Observations

报告漏洞

要报告 Spring 项目组合中的安全漏洞,请参阅安全政策

领先一步

VMware 提供培训和认证,助您加速进步。

了解更多

获取支持

Tanzu Spring 通过一个简单的订阅提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看全部