更進一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2021-22096:Spring Framework 中的日誌注入
描述
在 Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17 和更舊的不受支援的版本中,使用者可以提供惡意輸入以導致插入額外的日誌條目。
受影響的 Spring 產品和版本
- Spring Framework
- 5.3.0 到 5.3.10
- 5.2.0 到 5.2.17
- 更舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應應用以下緩解措施:5.3.x 使用者應升級到 5.3.12+,5.2.x 使用者應升級到 5.2.18+。無需其他步驟。注意:5.3.11 也包含緩解措施,但有另一個主要回歸。已修復此問題的版本包括
- Spring Framework
- 5.3.12+
- 5.2.18+
致謝
此漏洞最初由 Dennis Kennedy 發現並負責任地報告。
參考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/117.html
歷史
- 2021-10-26:釋出了初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中某個專案的安全漏洞,請參閱安全策略