搶佔先機
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2022-22970:Spring Framework 透過資料繫結到 MultipartFile 或 Servlet Part 導致 DoS 攻擊
描述
如果 Spring MVC 或 Spring WebFlux 應用程式依賴於資料繫結將 MultipartFile 或 javax.servlet.Part 設定為模型物件中的欄位,則該應用程式容易受到 DoS 攻擊。
受影響的 Spring 產品和版本
- Spring Framework
- 5.3.0 到 5.3.19
- 5.2.0 到 5.2.21
- 較舊的,不受支援的版本也受到影響
緩解措施
受影響版本的使用者應應用以下緩解措施:5.3.x 使用者應升級到 5.3.20;5.2.x 使用者應升級到 5.2.22。 無需其他步驟。 已修復此問題的版本包括
- Spring Framework
- 5.3.20
- 5.2.22
鳴謝
此漏洞由 Adobe Inc. 的 Rob Ryan 負責任地報告給 VMware。 Dbappsecurity 的 WeBin Lab 和 Arcesium 的 Vivek Sharm 也報告了相關的變體。
參考
歷史
- 2022-05-11:釋出初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中專案的安全漏洞,請參閱安全策略