VMware Spring Framework 6.0.15/6.1.2中发现漏洞:已被宣布为关键漏洞。
受此漏洞影响的是HTTP Request Handler组件的一些未知功能。使用未知输入进行操作会导致拒绝服务漏洞。漏洞的 CWE 定义为CWE-404。在资源可供重用之前,产品不会释放或错误地释放资源。众所周知,它会影响可用性。
在 Spring Framework 版本 6.0.15 和 6.1.2 中,用户可能会提供可能导致拒绝服务 (DoS) 情况的特制 HTTP 请求。
具体来说,当满足以下所有条件时,应用程序就容易受到攻击:
- 应用程序使用 Spring MVC 类路径上有 Spring Security 6.1.6+ 或 6.2.1+
- Spring Boot 应用程序需要 org.springframework.boot:spring-boot-starter-web 和 org.springframework.boot:spring-boot-starter-security 依赖项
该漏洞已于 2024 年 1 月 22 日发布。该通报在spring.io上共享。自 2024 年 1 月 8 日起,此漏洞被称为CVE-2024-22233。技术细节和漏洞利用均未公开。目前,漏洞利用的价格可能约为 0-5000 美元(估计值于 2024 年 1 月 22 日计算)。
升级到版本 6.0.16 或 6.1.3 可消除此漏洞:
1 月 11 日发布的 Spring Framework 6.0.16 和 6.1.3 版本包含对CVE-2024-22233的修复。
Spring Boot 3.1.8和3.2.2版本上周发布,升级到相关 Spring 框架版本。