漏洞公告
近日,安恒信息CERT监测到Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883),目前技术细节及PoC未公开。当Spring Boot与反向代理缓存共同使用时,攻击者可在通过发送特定请求包造成拒绝服务攻击。
该产品主要使用客户行业分布广泛,是主流的Java开发框架之一。该漏洞需在一定前置条件下触发,建议客户尽快做好自查及防护。
漏洞信息
Spring Boot是一个开源框架,旨在简化基于Spring的应用程序的开发和部署。它提供了自动配置、内嵌式容器、起步依赖和生产就绪性等特性,使开发人员能够快速构建高效、可靠的应用程序。
安恒信息CERT基于中央研究院AVPT漏洞治理技术框架预演分数区间为9.3~6.2,关键预演场景如下:
当Exp在野利用,影响核心资产为互联网资产时,AVPT Score上升至9.3分,相较CVSS评分上升1.9分。
当无PoC/Exp,影响一般资产为本机访问资产时,AVPT Score下降至7.1分,相较CVSS评分下降0.3分。
当无PoC/Exp,影响一般资产为物理接触资产时,AVPT Score下降至6.2分,相较CVSS评分下降1.2分。
|
漏洞标题 |
Spring Boot Welcome页面存在拒绝服务漏洞 |
||
|
应急响应等级 |
3级 |
||
|
漏洞类型 |
拒绝服务 |
||
|
影响目标 |
影响厂商 |
Spring |
|
|
影响产品 |
Spring Boot |
||
|
影响版本 |
[3.0.0,3.0.6] [2.7.0,2.7.11] [2.6.0,2.6.14] [2.5.0,2.5.14] 更早不再维护的版本 |
||
|
安全版本 |
[3.0.7,+∞] [2.7.12,+∞] [2.6.15,+∞] [2.5.15,+∞] |
||
|
漏洞编号 |
CVE编号 |
CVE-2023-20883 |
|
|
CNVD编号 |
未分配 |
||
|
CNNVD编号 |
未分配 |
||
|
安恒CERT编号 |
DM-202211-000179 |
||
|
漏洞标签 |
WEB应用、开发框架 |
||
|
CVSS3.1评分 |
7.4(预估) |
危害等级 |
高危 |
|
CVSS向量 |
访问途径(AV) |
网络 |
|
|
攻击复杂度(AC) |
高 |
||
|
所需权限(PR) |
无需任何权限 |
||
|
用户交互(UI) |
不需要用户交互 |
||
|
影响范围(S) |
不变 |
||
|
机密性影响(C) |
无 |
||
|
完整性影响(I) |
高 |
||
|
可用性影响(A) |
高 |
||
|
威胁状态 |
Poc情况 |
未发现 |
|
|
Exp情况 |
未发现 |
||
|
在野利用 |
未发现 |
||
|
研究情况 |
分析中 |
||
|
舆情热度 |
公众号 |
低 |
|
|
Twitter |
低 |
||
|
微博 |
低 |
||
安恒信息 CERT 已验证该漏洞的的可利用性:
修复方案
判断受影响情况:
若满足以下所有情况,则受到此漏洞影响:
-
该应用程序启用了 Spring MVC 自动配置。如果 Spring MVC 在类路径上,则默认情况下就是这种情况。
-
该应用程序利用 Spring Boot 的欢迎页面支持,无论是静态的还是模板化的。
-
应用程序部署在缓存 404 响应的代理后面。
官方修复方案:
-
3.0.x 版本升级到 3.0.7及以上版本
-
2.7.x 版本升级到 2.7.12及以上版本
-
2.6.x 版本升级到 2.6.15及以上版本
-
2.5.x 版本升级到 2.5.15及以上版本
-
更早不再维护的版本升级到3.0.7及以上版本或2.7.12及以上版本
临时修复方案:
配置反向代理不缓存 404 响应或不缓存对应用程序根 (/) 请求的响应。
网络空间资产测绘
安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,Spring Boot全球IP测绘数据 118,781 条,域名测绘数据196,191条,国内资产较多。
根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。
参考资料
https://spring.io/security/cve-2023-20883
安恒信息CERT
2023年5月
原文始发于微信公众号(安恒信息CERT):【风险预警】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论