安全公告/【CVE-2023-20883】
基本信息
漏洞名称:Spring Boot 拒绝服务漏洞(CVE-2023-20883)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:Spring Boot
CVSS评分:7.5
发现日期:2024-03-29
漏洞描述
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。 Spring Boot 存在拒绝服务漏洞,在受影响的版本中,如果 Spring MVC 与反向代理缓存一起使用,则可能会受到拒绝服务 (DoS) 攻击。
漏洞判定
版本比对检测原理:检查当前系统中 spring-boot-autoconfigure 版本是否在受影响版本内|版本比对检测结果:- spring-boot-autoconfigure 当前安装版本:2.2.7.RELEASE 应用相关信息: - 进程PID:26758 - SpringBoot项目包路径:/home/bea/cygl/cygl-0.0.1-SNAPSHOT.jar - SpringBoot子包名称:spring-boot-autoconfigure-2.2.7.RELEASE.jar 该主机存在此漏洞
修复方式
将 Spring Boot 升级到 2.5.15、2.6.15、2.7.12、3.0.7 及以上版本,下载地址:https://github.com/spring-projects/spring-boot/releases