【漏洞预警】Spring Framework 拒绝服务漏洞

1. 通告信息

近日，安识科技A-Team团队监测到一则Spring Framework 拒绝服务漏洞的信息，当前官方已发布升级补丁以修复漏洞。

对此，安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作，以免遭受黑客攻击。 

2. 漏洞概述

CVE-2022-22950

该漏洞是由于 Spring Framework 对 SPEL 表达式处理不当，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行拒绝服务攻击，最终造成服务器拒绝服务。

3. 漏洞危害

攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行拒绝服务攻击，最终造成服务器拒绝服务。

4. 影响版本

5.3.0< = Spring Framework < =5.3.16

5.2.0< = Spring Framework < =5.2.19

5. 解决方案

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://github.com/spring-projects/spring-framework/tags

6. 时间轴

【-】2022年4月8日 安识科技A-Team团队监测到Spring官方发布安全补丁

【-】2022年4月8日 安识科技A-Team团队根据官方公告分析

【-】2022年4月8日 安识科技A-Team团队发布安全通告