描述

在 Spring Framework 5.3.0 - 5.3.18、5.2.0 - 5.2.20 以及更舊的不受支援的版本中，DataBinder 上 disallowedFields 的模式區分大小寫，這意味著除非該欄位以大寫和小寫形式列出，包括屬性路徑中所有巢狀欄位的第一個字元的大寫和小寫形式，否則無法有效地保護該欄位。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 至 5.3.18
  • 5.2.0 至 5.2.20
  • 較舊的、不受支援的版本也受影響

緩解措施

受影響版本的使用者應應用以下緩解措施：5.3.x 使用者應升級到 5.3.19+。 5.2.x 使用者應升級到 5.2.21+。 不需要其他步驟，但應用程式也應審查其 DataBinder 配置以及更廣泛的資料繫結方法。 有關更多詳細資訊，請參閱 Spring Framework 參考手冊中的資料繫結模型設計。 已修復此問題的版本包括

• Spring Framework
  • 5.3.19+
  • 5.2.21+

鳴謝

此漏洞由 Spring Framework 團隊內部發現，是 CVE-2022-22965 的後續行動。

參考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
• https://cwe.mitre.org/data/definitions/178.html
• https://springframework.tw/blog/2022/04/13/spring-framework-data-binding-rules-vulnerability-cve-2022-22968

歷史

• 2022-04-13：釋出了初始漏洞報告。