Spring Security 公告

CVE-2021-22060：Spring Framework 中的其他日誌注入（CVE-2021-22096 的後續）

MEDIUM | 2022 年 1 月 5 日 | CVE-2021-22060

描述

在 Spring Framework 版本 5.3.0 - 5.3.13、5.2.0 - 5.2.18 以及更舊的不受支援的版本中，使用者可以透過提供惡意輸入來導致插入其他日誌條目。這是 CVE-2021-22096 的後續，它可防止其他型別的輸入並覆蓋 Spring Framework 程式碼庫的更多位置。

受影響的 Spring 產品和版本

Spring Framework
- 5.3.0 到 5.3.13
- 5.2.0 到 5.2.18
- 舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施。 5.3.x 使用者應升級到 5.3.14+。 5.2.x 使用者應升級到 5.2.19+。不需要其他步驟。包含此問題修復的版本包括

Spring Framework
- 5.3.14+
- 5.2.19+

鳴謝

此漏洞由 psytester 負責任地報告。

參考

https://tanzu.vmware.com/security/cve-2021-22096

歷史

2022-01-05：釋出了初始漏洞報告。

報告漏洞

要報告 Spring 產品組合中的專案的安全漏洞，請參閱安全策略