領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2021-22096: Spring Framework 中的日誌注入
描述
在 Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17 版本以及更舊的不受支援版本中,使用者可能提供惡意輸入,導致插入額外的日誌條目。
受影響的 Spring 產品和版本
- Spring Framework
- 5.3.0 到 5.3.10
- 5.2.0 到 5.2.17
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施:5.3.x 使用者應升級到 5.3.12+,5.2.x 使用者應升級到 5.2.18+。無需其他步驟。注意:5.3.11 也包含此緩解措施,但存在另一個重大回歸。已修復此問題的版本包括
- Spring Framework
- 5.3.12+
- 5.2.18+
致謝
此漏洞由 Dennis Kennedy 初次發現並負責任地報告。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
- https://cwe.mitre.org/data/definitions/117.html
歷史
- 2021-10-26: 最初的漏洞報告已釋出。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略