Spring框架再爆漏洞：数据绑定规则漏洞CVE-2022-22968

2 years ago

source link: https://www.jdon.com/60138
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

屋漏偏逢连夜雨，Bug越修越多：
在Spring Framework 5.3.0 - 5.3.18, 5.2.0 - 5.2.20版本，以及更早的版本中，DataBinder上disallowedFields的模式是大小写敏感的，这意味着除非字段的第一个字符同时以大写和小写列出，包括属性路径中所有嵌套字段的第一个字符的大写和小写，否则字段不会被有效保护。

受影响版本的用户应采用以下缓解措施：
5.3.x用户应升级到5.3.19+。
5.2.x用户应该升级到5.2.21+。
应用程序也应该审查他们的DataBinder配置和更广泛的数据绑定方法。

Spring官方回复：
在修复Spring框架RCE漏洞CVE-2022-22965（上一个RCE严重漏洞）和建议的解决方法时，我们已经意识到WebDataBinder上的disallowedFields配置设置并不直观，也没有明确的文档。我们已经修复了这个问题，但也决定从安全的角度出发，公布一个后续的CVE，以确保应用程序开发人员得到提醒，并有机会审查他们的配置。

Recommend

Spring框架再爆漏洞：数据绑定规则漏洞CVE-2022-22968

Recommend

Doing small network scientific machine learning in Julia 5x faster than PyTorch

凭什么是张一鸣

Style Transferring with TensorFlow

累计量产破千万后，九号带来电动滑板车中的“性能怪兽”

LunaSec (YC S19) Is Hiring a Growth Lead to Help Build Our GitHub Community

I'm so tired of Google's business products

3 Reasons Why You Should Contribute to Open Source Projects

Ask HN: Do you manage your family's digital safety?

纠偏正负样本

中国邮政与中信集团战略合作！

About Joyk