PT-2024-7271 · Spring+1 · Spring Framework+1

Popko

·

Publicado

2024-08-14

·

Atualizado

2026-05-18

·

CVE-2024-38808

CVSS v4.0

5.1

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas:
Versões do Spring Framework de 5.3.0 a 5.3.38
Versões mais antigas do Spring Framework que não recebem suporte
Descrição:
O problema está relacionado à Spring Expression Language (SpEL) no Spring Framework. É possível que um usuário forneça uma expressão SpEL especialmente criada que possa causar uma condição de negação de serviço (DoS). Um aplicativo fica vulnerável quando avalia expressões SpEL fornecidas pelo usuário.
Recomendações:
Para as versões 5.3.0 a 5.3.38 do Spring Framework, considere atualizar para uma versão mais recente para mitigar o risco.
Para versões mais antigas e sem suporte do Spring Framework, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Como solução alternativa temporária, considere restringir a avaliação de expressões SpEL fornecidas pelo usuário para minimizar o risco de exploração.

DoS

Improper Resource Release

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-770

Identificadores relacionados

BDU:2024-08623
CLEANSTART-2026-SQ91016
CLEANSTART-2026-WK99982
CVE-2024-38808
GHSA-9CMQ-M9J5-MVWW
RHSA-2024:8884
RHSA-2024:8885
RHSA-2024:8886
RHSA-2024:8887

Produtos afetados

Debian
Spring Framework