阿里云漏洞库

漏洞描述

Spring Framework版本5.1、5.0.10之前的5.0.x版本，4.3.20之前的4.3.x版本以及4.2.x分支上不受支持的旧版本在通过ResourceHttpRequestHandler提供静态资源时支持范围请求，或者从5.0开始，当带注释的控制器返回org.springframework.core.io.Resource时。恶意用户（或攻击者）可以添加范围很大的范围或重叠的宽范围的范围标头，或同时添加这两者，以进行拒绝服务攻击。此漏洞影响依赖于spring-webmvc或spring-webflux的应用程序。此类应用程序还必须注册以提供静态资源（例如JS，CSS，图像和其他资源），或具有带注释的控制器，该控制器返回org.springframework.core.io.Resource。依赖spring-boot-starter-web或spring-boot-starter-webflux的Spring Boot应用程序随时可以提供静态资源，因此容易受到攻击。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securityfocus.com/bid/105703
https://lists.apache.org/thread.html/339fd112517e4873695b5115b96acdddbfc8f83b...
https://lists.apache.org/thread.html/77886fec378ee6064debb1efb6b464a4a0173b2f...
https://lists.apache.org/thread.html/7b156ee50ba3ecce87b33c06bf7a749d84ffee55...
https://lists.apache.org/thread.html/8a1fe70534fc52ff5c9db5ac29c55657f802cbef...
https://lists.apache.org/thread.html/a3071e11c6fbd593022074ec1b4693f6d948c2b0...
https://lists.apache.org/thread.html/bb354962cb51fff65740d5fb1bc2aac56af577c0...
https://lists.apache.org/thread.html/d6a84f52db89804b0ad965f3ea2b24bb880edee2...
https://lists.apache.org/thread.html/efaa52b0aa67aae7cbd9e6ef96945387e422d7ce...
https://lists.apache.org/thread.html/f8905507a2c94af6b08b72d7be0c4b8c6660e585...
https://lists.debian.org/debian-lts-announce/2021/04/msg00022.html
https://pivotal.io/security/cve-2018-15756
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	enterprise_manager_ops_center	12.3.3	-
	运行在以下环境
	应用	oracle	retail_invoice_matching	12.0	-
	运行在以下环境
	应用	oracle	retail_invoice_matching	13.0	-
	运行在以下环境
	应用	oracle	retail_invoice_matching	13.1	-
	运行在以下环境
	应用	oracle	retail_invoice_matching	13.2	-
	运行在以下环境
	应用	oracle	retail_invoice_matching	14.0	-
	运行在以下环境
	应用	oracle	retail_invoice_matching	14.1	-
	运行在以下环境
	应用	oracle	retail_order_broker	15.0	-
	运行在以下环境
	应用	oracle	retail_order_broker	16.0	-
	运行在以下环境
	应用	oracle	retail_order_broker	5.1	-
	运行在以下环境
	应用	oracle	retail_order_broker	5.2	-
	运行在以下环境
	应用	pivotal_software	spring_framework	*	From (including) 4.2.0	Up to (including) 4.2.9
	运行在以下环境
	应用	pivotal_software	spring_framework	*	From (including) 4.3.0	Up to (excluding) 4.3.20
	运行在以下环境
	应用	pivotal_software	spring_framework	*	From (including) 5.0.0	Up to (excluding) 5.0.10
	运行在以下环境
	应用	pivotal_software	spring_framework	5.1	-
	运行在以下环境
	系统	debian_9	libspring-java	*		Up to (excluding) 4.3.5-1+deb9u1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
NVD-CWE-noinfo

低危 Oracle Financial Services Analytical Applications Infrastructure jQuery 资源管理漏洞

漏洞描述

解决建议

参考链接

受影响软件情况