描述

在 Spring Framework 版本 6.0.0 - 6.0.6、5.3.0 - 5.3.25、5.2.0.RELEASE - 5.2.22.RELEASE 以及更早的不受支援的版本中，使用者可以提供一個精心製作的 SpEL 表示式，該表示式可能導致拒絕服務 (DoS) 情況。

受影響的 Spring 產品和版本

• Spring Framework
  • 6.0.0 到 6.0.6
  • 5.3.0 到 5.3.25
  • 5.2.0.RELEASE 到 5.2.22.RELEASE
  • 更早的，不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施：6.0.x 使用者應升級到 6.0.7+。5.3.x 使用者應升級到 5.3.26+。5.2.x 使用者應升級到 5.2.23.RELEASE+。更早的不受支援版本的使用者應升級到 6.0.7+ 或 5.3.26+。無需其他步驟。已修復此問題的版本包括

• Spring Framework
  • 6.0.7+
  • 5.3.26+
  • 5.2.23.RELEASE+

鳴謝

此漏洞最初由 Google OSS-Fuzz 團隊從 Code Intelligence 發現並負責任地報告。

參考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/RL:O
• https://cwe.mitre.org/data/definitions/770.html

歷史

• 2023-03-20：釋出初始漏洞報告。