中危 Spring Expression DoS漏洞(CVE-2023-20861)

CVE编号

CVE-2023-20861

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-03-20
漏洞描述
在Spring Framework版本6.0.0-6.0.6、5.3.0-5.3.25、5.2.0.RELEASE-5.2.22.RELEASE和不受支持的旧版本中,用户可以提供特制的SpEL表达式,该表达式可能会导致拒绝服务(DoS)情况。

受影响的版本:
Spring Framework (6.0.0 to 6.0.6)、(5.3.0 to 5.3.25)、(5.2.0.RELEASE to 5.2.22.RELEASE)、(Older, unsupported versions are also affected)
解决建议
受影响版本的用户应应用以下缓解措施:6.0.x用户应升级至6.0.7+。5.3.x用户应升级到5.3.26+。5.2.x用户应更新至5.2.23.RELEASE+。不受支持的旧版本的用户应该升级至6.0.7+或5.3.26+。无需其他步骤。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 vmware spring_framework * Up to
(including)
5.2.22
运行在以下环境
应用 vmware spring_framework * From
(including)
5.3.0
Up to
(including)
5.3.25
运行在以下环境
应用 vmware spring_framework * From
(including)
6.0.0
Up to
(including)
6.0.6
阿里云评分
6.1
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    越权影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况