描述

在 Spring Framework 5.3.0 - 5.3.38 以及更早的不受支援版本中，使用者可以提供特製的 Spring 表示式語言 (SpEL) 表示式，從而可能導致拒絕服務 (DoS) 情況。

具體來說，當滿足以下條件時，應用程式容易受到攻擊

• 應用程式評估使用者提供的 SpEL 表示式。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 到 5.3.38
  • 較舊的不受支援的版本也會受到影響

緩解措施

受影響版本的使用者應升級到相應的修復版本。

受影響版本的使用者應應用以下緩解措施：5.3.x 使用者應升級到 5.3.39+ 或 6.0+。應儘可能避免評估使用者提供的 SpEL 表示式；否則，應在只讀模式下使用 SimpleEvaluationContext 評估使用者提供的 SpEL 表示式。無需其他步驟。

已修復此問題的版本包括

• Spring Framework
  • 5.3.39+
  • 6.0+

鳴謝

此問題由 popko 發現並負責任地報告。

參考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
• https://cwe.mitre.org/data/definitions/770.html

歷史

• 2024-08-14：釋出初始漏洞報告。