Spring Security 建議

RSS 源

CVE-2024-22271: Spring Cloud Function Web DOS 漏洞

中等 | 2024 年 6 月 19 日 | CVE-2024-22271

描述

描述 在 Spring Cloud Function 框架中,版本 4.1.x 早於 4.1.2,版本 4.0.x 早於 4.0.8,當應用程式嘗試使用不存在的函式組合函式時,容易受到 DOS 攻擊。

具體來說,當以下所有情況都為真時,應用程式是易受攻擊的

使用者正在使用 Spring Cloud Function Web 模組

受影響的 Spring 產品和版本 Spring Cloud Function 框架 4.1.0 至 4.1.2 4.0.0 至 4.0.8

參考資料 https://springframework.tw/security/cve-2022-22979 https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/ 歷史 2020-01-16:首次漏洞報告發布。

緩解措施

受影響版本的使用者應升級到相應的修復版本。

受影響版本 修復版本 可用性
4.1.0 4.1.2 OSS
4.0.0 4.0.8 商業

受影響版本的使用者應採用以下緩解措施。4.1.x 使用者應升級到 4.1.2。4.0.x 使用者應升級到 4.0.8。無需其他步驟。

致謝

此問題由 VNPT-VCI 的 devme4f 識別並負責任地報告

報告漏洞

要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略

領先一步

VMware 提供培訓和認證,助您加速進步。

瞭解更多

獲得支援

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案,只需一份簡單的訂閱。

瞭解更多

即將舉行的活動

檢視 Spring 社群所有即將舉行的活動。

檢視所有