PT-2022-2028 · Unknown+2 · Spring Framework+2
4Ra1N
·
Publicado
2022-03-28
·
Atualizado
2025-05-23
·
CVE-2022-22950
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Spring Framework de 5.3.0 a 5.3.16
Versões do Spring Framework de 5.2.0.RELEASE a 5.2.19.RELEASE
Versões mais antigas do Spring Framework sem suporte
Descrição
O problema está relacionado à alocação ilimitada de recursos no Spring Framework, que pode ser explorada por um invasor remoto usando uma expressão SpEL especialmente criada para causar uma condição de negação de serviço.
Recomendações
Para as versões do Spring Framework 5.3.0 a 5.3.16, considere atualizar para uma versão mais recente para resolver o problema.
Para as versões do Spring Framework 5.2.0.RELEASE a 5.2.19.RELEASE, considere atualizar para uma versão mais recente para resolver o problema.
Para versões mais antigas e sem suporte do Spring Framework, considere atualizar para uma versão com suporte para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de expressões SpEL para minimizar o risco de exploração.
Correção
DoS
RCE
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Spring Framework
Zvirt Node