Spring Framework(5.3.x 版本)中的这一漏洞可让攻击者执行 DoS 攻击:
- 影响 Spring Framework 版本< 5.3.0 和 5.3.0 至 5.3.41
- 中等严重程度 DoS 漏洞
- 具体影响@requestbodySpring MVC 控制器中的 byte[] 方法参数
问题是什么?该漏洞可能允许攻击者利用 Spring MVC 处理字节数组请求主体的方式执行 DoS 攻击。这可能会使您的服务无法供合法用户使用。
如何修复:您有几种选择:
- 在控制器中 从使用切换@requestbodybyte[]到InputStream
- 升级到受支持的 Spring Framework 版本
- 如果你还在使用旧版本,Spring Framework 5.3.x不再受社区支持。社区支持版本将不会收到任何更新来解决此问题。有关更多信息,请参阅此处。
Module Info信息
- 产品:Spring Security
- 受影响的包:spring-framework-core、spring-framework-web
- 受影响的版本:5.3.0、5.3.0或5.3.41
- GitHub仓库:https://github.com/spring-projects/spring-framework
- 软件包管理器:Maven
根据https://github.com/advisories/GHSA-w3c8-7r8f-9jp8,似乎 6.xx 及以上版本不受影响。