描述

具有透過 WebSocket 的 STOMP 端點的 Spring 應用程式容易受到經過身份驗證的使用者的拒絕服務攻擊。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 到 5.3.19
  • 5.2.0 到 5.2.21
  • 較舊的，不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施：5.3.x 使用者應升級到 5.3.20；5.2.x 使用者應升級到 5.2.22。 無需其他步驟。 修復此問題的版本包括

• Spring Framework
  • 5.3.20
  • 5.2.22

貢獻

David Delbecq 和 Rémy Vermeiren（來自 HMS Industrial Networks，Ewon 業務部門，研發部門 - 軟體）負責任地向 VMware 報告了此漏洞。

參考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

歷史

• 2022-05-11：釋出了初始漏洞報告。