領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2021-22060:Spring Framework 中的額外日誌注入(CVE-2021-22096 的後續)
描述
在 Spring Framework 5.3.0 - 5.3.13、5.2.0 - 5.2.18 版本以及更早的不受支援版本中,使用者可能提供惡意輸入,導致插入額外的日誌條目。這是對 CVE-2021-22096 的後續,旨在防範更多型別的輸入以及在 Spring Framework 程式碼庫的更多位置。
受影響的 Spring 產品和版本
- Spring Framework
- 5.3.0 至 5.3.13
- 5.2.0 至 5.2.18
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施。5.3.x 使用者應升級到 5.3.14+。5.2.x 使用者應升級到 5.2.19+。無需其他步驟。已修復此問題的版本包括
- Spring Framework
- 5.3.14+
- 5.2.19+
致謝
此漏洞由 psytester 負責任地報告。
參考資料
歷史
- 2022-01-05:初始漏洞報告發布。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略