CVE-2024-38828:透過帶有 byte[] 引數的 Spring MVC 控制器方法實現的 DoS 攻擊
MEDIUM | 2024 年 11 月 15 日 | CVE-2024-38828
描述
具有 @RequestBody byte[] 方法引數的 Spring MVC 控制器方法容易受到 DoS 攻擊。
受影響的 Spring 產品和版本
Spring Framework
- 5.3.0 - 5.3.41
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 |
修復版本 |
可用性 |
| 5.3.x |
5.3.42 |
商業 |
無需採取進一步的緩解措施。
在較舊的、不受支援的版本中,應用程式可以宣告一個 InputStream 方法引數來訪問請求體。
致謝
此問題由 macter 負責任地報告。
參考文獻
