【漏洞预警】Spring Framework拒绝服务漏洞CVE-2024-22233

2024年1月24日10:26:57评论103 views字数 948阅读3分9秒阅读模式

漏洞描述:

Spring Framework 是一个功能强大的 Java 应用程序框架，旨在提供高效且可扩展的开发环境。近日监测到Spring Framework中修复了一个拒绝服务漏洞（CVE-2024-22233），该漏洞的CVSSv3评分为7.5,Spring Framework 版本 6.0.15 和 6.1.2 中，当应用程序使用Spring MVC,且classpath类路径中包含Spring Security 6.1.6+ 或 6.2.1+时，威胁者可发送特制HTTP请求导致拒绝服务。

影响范围:
Spring Framework 版本6.0.15

Spring Framework 版本6.1.2
注意，通常SpringBoot应用程序需要org.springframework.boot:spring-boot-starter-web和org.springframework.boot:spring-boot-starter-security依赖项来满足上述条件,Spring Framework 版本6.0.15和6.1.2分别被 Spring Boot 3.1.7 和 3.2.1 使用。

安全措施:
升级版本
目前该漏洞已经修复，受影响用户可升级到以下版本:
Spring Framework 版本6.0.15：可升级到 6.0.16

Spring Framework 版本6.1.2：可升级到 6.1.3

下载链接：
https://github.com/spring-projects/spring-framework/releases

临时措施:
Spring Boot用户可升级到Spring Boot 3.1.8（升级到Spring Framework 6.0.16）、3.2.2（升级到Spring Framework 6.1.3）或更高版本

下载链接:
https://github.com/spring-projects/spring-boot/releases

参考链接:
https://spring.io/security/cve-2024-22233/

https://spring.io/projects/spring-framework/

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Spring Framework拒绝服务漏洞CVE-2024-22233

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Spring Framework拒绝服务漏洞CVE-2024-22233

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

Gladinet漏洞CVE-2025-30406遭在野利用

安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞

Microsoft Edge信息泄露漏洞(CVE-2025-29834)

【已复现】Gladinet CentreStack & Triofox 远程RCE漏洞（CVE-2025-30406）

【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)

发表评论

在线咨询

微信