先人一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2021-22118:Spring Webflux Multipart Request 處理中的本地許可權提升
描述
在 Spring Framework 中,版本 5.2.x 低於 5.2.15 和版本 5.3.x 低於 5.3.7,WebFlux 應用程式容易受到許可權提升的攻擊:透過(重新)建立臨時儲存目錄,本地身份驗證的惡意使用者可以讀取或修改已上傳到 WebFlux 應用程式的檔案,或使用 multipart 請求資料覆蓋任意檔案。
Spring MVC 應用程式不受此漏洞影響,不處理 multipart 檔案請求的應用程式也不受影響。
受影響的 Spring 產品和版本
- Spring Framework
- 5.2.0 到 5.2.14
- 5.3.0 到 5.3.6
緩解措施
受影響版本的使用者應應用以下緩解措施。5.3.x 使用者應升級到 5.3.7。5.2.x 使用者應升級到 5.2.15。無需其他步驟。已修復此問題的版本包括
- Spring Framework
- 5.3.7
- 5.2.15
貢獻
此問題由來自 Viettel Cyber Security 的 Trung Pham 發現並負責任地報告。
參考
歷史
- 2021-05-25:首次釋出初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略