漏洞标题
通过范围请求进行DoS攻击
漏洞描述信息
Spring Framework 5.1 及其之前的 5.0.x(除 5.0.10 之外), 4.3.x(除 4.3.20 之外)版本和 4.2.x 分支中不受支持的旧版本,当通过 ResourceHttpRequestHandler 服务静态资源,或从 5.0 版本开始,注解控制器返回 org.springframework.core.io.Resource 时,都支持范围请求。恶意用户(或攻击者)可以在范围请求头中添加大量范围,或者添加重叠的大范围,或者两者兼有,从而导致拒绝服务攻击。此漏洞影响依赖 spring-webmvc 或 spring-webflux 的应用程序。此类应用程序还必须有一个服务静态资源(如 JS、CSS、图片等)的注册,或者有一个返回 org.springframework.core.io.Resource 的注解控制器。依赖于 spring-boot-starter-web 或 spring-boot-starter-webflux 的 Spring Boot 应用程序默认即可服务静态资源,因此会受到影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H
漏洞类别
N/A
漏洞标题
DoS Attack via Range Requests
漏洞描述信息
Spring Framework, version 5.1, versions 5.0.x prior to 5.0.10, versions 4.3.x prior to 4.3.20, and older unsupported versions on the 4.2.x branch provide support for range requests when serving static resources through the ResourceHttpRequestHandler, or starting in 5.0 when an annotated controller returns an org.springframework.core.io.Resource. A malicious user (or attacker) can add a range header with a high number of ranges, or with wide ranges that overlap, or both, for a denial of service attack. This vulnerability affects applications that depend on either spring-webmvc or spring-webflux. Such applications must also have a registration for serving static resources (e.g. JS, CSS, images, and others), or have an annotated controller that returns an org.springframework.core.io.Resource. Spring Boot applications that depend on spring-boot-starter-web or spring-boot-starter-webflux are ready to serve static resources out of the box and are therefore vulnerable.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Pivotal Software Spring Framework 资源管理错误漏洞
漏洞描述信息
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。以下版本受到影响:Pivotal Spring Framework 5.1版本,5.0.10之前的5.0.x版本,4.3.20之前的4.3.x版本,4.2.x版本。
CVSS信息
N/A
漏洞类别
资源管理错误