描述

CVE-2022-22968 的修復使得 DataBinder 中的 disallowedFields 模式不再區分大小寫。然而，String.toLowerCase() 存在一些與區域設定相關的異常，這可能導致欄位未按預期受到保護。

受影響的 Spring 產品…

描述

透過函式式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供靜態資源的應用程式容易受到路徑遍歷攻擊。攻擊者可以精心製作惡意 HTTP 請求，並獲取檔案系統上任意檔案，該檔案也…

描述

透過函式式 Web 框架 WebMvc.fn 或 WebFlux.fn 提供靜態資源的應用程式容易受到路徑遍歷攻擊。攻擊者可以精心製作惡意 HTTP 請求，並獲取檔案系統上任意檔案，該檔案也…

描述

使用 spring-boot-loader 或 spring-boot-loader-classic 幷包含執行巢狀 jar 檔案簽名驗證的自定義程式碼的應用程式可能容易受到簽名偽造的影響，其中內容似乎由一個實體簽名…

描述

使用 @AuthorizeReturnObject 或 Spring Security 產生的 AuthorizationAdvisorProxyFactory @Bean 包裝物件的應用程式可能不會應用所有安全建議。

當方法安全建議未應用時，這意味著像 @PreFilter 和 @PreAuthorize 這樣的註解可能不起作用…

描述

在 Spring Framework 5.3.0 - 5.3.38 及更舊的不受支援版本中，使用者可以提供經過特殊製作的 Spring Expression Language (SpEL) 表示式，這可能導致拒絕服務 (DoS) 情況。

具體而言，一個…

描述

從“If-Match”或“If-None-Match”請求頭解析 ETag 的應用程式容易受到 DoS 攻擊。

受影響的 Spring 產品和版本

Spring Framework

• 6.1.0 - 6.1.11
• 6.0.0 - 6.0.22
• 5.3.0 - 5.3.37
• 較舊的、不受支援的版本也受到影響
…

描述

Spring Cloud Data Flow 是一個基於微服務的流式和批處理資料處理平臺，部署在 Cloud Foundry 和 Kubernetes 中。Skipper 伺服器具有接收上傳包請求的能力。由於以下原因，存在很小的可能性…

描述

描述 在 Spring Cloud Function 框架中，4.1.x 版本早於 4.1.2，4.0.x 版本早於 4.0.8，當應用程式嘗試與不存在的函式組合時，容易受到 DoS 攻擊。

具體來說，應用程式是…

描述

Spring Cloud Data Flow 是一個基於微服務的流式和批處理資料處理平臺，部署在 Cloud Foundry 和 Kubernetes 中。Skipper 伺服器具有接收上傳包請求的能力。然而，由於上傳路徑未經過適當清理，一個…