屋漏偏逢连夜雨,Bug越修越多:
在Spring Framework 5.3.0 - 5.3.18, 5.2.0 - 5.2.20版本,以及更早的版本中,DataBinder上disallowedFields的模式是大小写敏感的,这意味着除非字段的第一个字符同时以大写和小写列出,包括属性路径中所有嵌套字段的第一个字符的大写和小写,否则字段不会被有效保护。
受影响版本的用户应采用以下缓解措施:
5.3.x用户应升级到5.3.19+。
5.2.x用户应该升级到5.2.21+。
应用程序也应该审查他们的DataBinder配置和更广泛的数据绑定方法。
Spring官方回复:
在修复Spring框架RCE漏洞CVE-2022-22965(上一个RCE严重漏洞)和建议的解决方法时,我们已经意识到WebDataBinder上的disallowedFields配置设置并不直观,也没有明确的文档。我们已经修复了这个问题,但也决定从安全的角度出发,公布一个后续的CVE,以确保应用程序开发人员得到提醒,并有机会审查他们的配置。