【漏洞预警】Spring Framework 拒绝服务漏洞CVE-2023-34053

admin 2023年12月5日20:52:18评论87 views字数 635阅读2分7秒阅读模式

【漏洞预警】Spring Framework 拒绝服务漏洞CVE-2023-34053

漏洞描述:

Spring Framework是spring 里面的一个基础开源框架,支持快速开发Java EE应用程序的框架,它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成。主要用于javaee的企业开发。近日监测到Spring官方发布安全公告,其中公开了一个影响SpringFramework 6.0.0~6.0.13版本之间的拒绝服务漏洞,在特定条件下,攻击者可能通过发送一个特殊的恶意请求导致服务器拒绝服务,当应用同时满足以下条件时,则会受漏洞影响,使用了 Spring MVC 或者 Spring WebFlux框架;io.micrometer:micrometer-core组件存在于应用类路径中;应用配置了ObservationRegistry来记录观察结果。一般情况下,如果Spring Boot应用使用了org.springframework.boot:spring-boot-actuator依赖则会满足以上所有条件。


影响版本:
6.0.0<=Spring Framework<=6.0.13

安全版本:
Spring Framework Version >= 6.0.14

修复建议:
正式防护方案:
官方已经发布安全版本,如有受影响的用户请尽快更新至安全版本

参考资料:
https://spring.io/security/cve-2023-34053


原文始发于微信公众号(飓风网络安全):【漏洞预警】Spring Framework 拒绝服务漏洞CVE-2023-34053

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月5日20:52:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Spring Framework 拒绝服务漏洞CVE-2023-34053http://cn-sec.com/archives/2270437.html

发表评论

匿名网友 填写信息