【风险通告】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)

admin 2023年5月23日09:28:30评论184 views字数 1548阅读5分9秒阅读模式
【风险通告】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)

漏洞公告

近日,安恒信息CERT监测到Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883),目前技术细节及PoC未公开。当Spring Boot与反向代理缓存共同使用时,攻击者可在通过发送特定请求包造成拒绝服务攻击。


该产品主要使用客户行业分布广泛,是主流的Java开发框架之一。该漏洞需在一定前置条件下触发,建议客户尽快做好自查及防护。

漏洞信息

Spring Boot是一个开源框架,旨在简化基于Spring的应用程序的开发和部署。它提供了自动配置、内嵌式容器、起步依赖和生产就绪性等特性,使开发人员能够快速构建高效、可靠的应用程序。


安恒信息CERT基于中央研究院AVPT漏洞治理技术框架预演分数区间为9.3~6.2,关键预演场景如下:

当Exp在野利用,影响核心资产为互联网资产时,AVPT Score上升至9.3分,相较CVSS评分上升1.9分。


当无PoC/Exp,影响一般资产为本机访问资产时AVPT Score下降至7.1分,相较CVSS评分下降0.3分。


当无PoC/Exp,影响一般资产为物理接触资产时,AVPT Score下降至6.2分,相较CVSS评分下降1.2分。

漏洞标题

Spring  Boot Welcome页面存在拒绝服务漏洞

应急响应等级

3

漏洞类型

拒绝服务

影响目标

影响厂商

Spring

影响产品

Spring  Boot

影响版本

[3.0.0,3.0.6]

[2.7.0,2.7.11]

[2.6.0,2.6.14]

[2.5.0,2.5.14]

更早不再维护的版本

安全版本

[3.0.7,+]

[2.7.12,+]

[2.6.15,+]

[2.5.15,+]

漏洞编号

CVE编号

CVE-2023-20883

CNVD编号

未分配

CNNVD编号

未分配

安恒CERT编号

DM-202211-000179

漏洞标签

WEB应用、开发框架

CVSS3.1评分

7.4(预估)

危害等级

高危

CVSS向量

访问途径(AV

网络

攻击复杂度(AC

所需权限(PR

无需任何权限

用户交互(UI

不需要用户交互

影响范围(S

不变

机密性影响(C

完整性影响(I

可用性影响(A

威胁状态

Poc情况

未发现

Exp情况

未发现

在野利用

未发现

研究情况

分析中

 

舆情热度

公众号

Twitter

微博

安恒信息 CERT 已验证该漏洞的的可利用性:

【风险通告】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)


修复方案

判断受影响情况:

若满足以下所有情况,则受到此漏洞影响:

  • 该应用程序启用了 Spring MVC 自动配置。如果 Spring MVC 在类路径上,则默认情况下就是这种情况。

  • 该应用程序利用 Spring Boot 的欢迎页面支持,无论是静态的还是模板化的。

  • 应用程序部署在缓存 404 响应的代理后面。


官方修复方案:

  • 3.0.x 版本升级到 3.0.7及以上版本

  • 2.7.x 版本升级到 2.7.12及以上版本

  • 2.6.x 版本升级到 2.6.15及以上版本

  • 2.5.x 版本升级到 2.5.15及以上版本

  • 更早不再维护的版本升级到3.0.7及以上版本或2.7.12及以上版本


临时修复方案:

配置反向代理不缓存 404 响应或不缓存对应用程序根 (/) 请求的响应。


网络空间资产测绘

安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,Spring Boot全球IP测绘数据  118,781 条,域名测绘数据196,191条,国内资产较多。


根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。

【风险通告】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)


参考资料

https://spring.io/security/cve-2023-20883


安恒信息CERT

2023年5月


原文始发于微信公众号(安恒信息CERT):【风险通告】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月23日09:28:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】Spring Boot Welcome页面存在拒绝服务漏洞(CVE-2023-20883)https://cn-sec.com/archives/1752184.html

发表评论

匿名网友 填写信息