注意 | Spring Framework多個安全漏洞
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
Spring Framework是spring里面的一個基礎開源框架,主要用于javaee的企業開發。
2022年5月11日,VMware發布安全公告,修復了多個存在于Spring Framework中的中危漏洞。漏洞詳情如下:
1. Spring Framework拒絕服務漏洞
Spring Framework拒絕服務漏洞 漏洞編號 CVE-2022-22970 漏洞類型 拒絕服務 漏洞等級 中危 公開狀態 未知 在野利用 未知 漏洞描述 若處理文件上傳的 Spring MVC或Spring WebFlux 應用程序依賴數據綁定將 MultipartFile或 javax.servlet.Part 設置為模型對象中的字段,則它容易受到 DoS 攻擊。 |
2. Spring Framework拒絕服務漏洞
Spring Framework拒絕服務漏洞 漏洞編號 CVE-2022-22971 漏洞類型 拒絕服務 漏洞等級 中危 公開狀態 未知 在野利用 未知 漏洞描述 具有STOMP over WebSocket端點的Spring應用程序容易受到經過身份驗證的用戶的拒絕服務攻擊。 |
0x03
漏洞等級
中危
0x04
影響版本
Vmware Spring Framework
5.3.0-5.3.19
5.2.0-5.2.21
舊的、不受支持的版本
0x05
修復建議
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:5.3.x 用戶應升級到 5.3.20;5.2.x 用戶應升級到 5.2.22。下載鏈接如下:
https://github.com/spring-projects/spring-framework/releases/
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x05
時間軸
2022-05-11
VMware發布安全公告,修復了多個存在于Spring Framework中的中危漏洞。
2022-05-12
360漏洞云發布安全動態。
