安全公告/【CVE-2023-20883】

基本信息

漏洞描述

Spring Boot是由Pivotal团队提供的全新框架，其设计目的是用来简化新Spring应用的初始搭建以及开发过程。 Spring Boot 存在拒绝服务漏洞，在受影响的版本中，如果 Spring MVC 与反向代理缓存一起使用，则可能会受到拒绝服务 （DoS） 攻击。

修复方式

将 Spring Boot 升级到 2.5.15、2.6.15、2.7.12、3.0.7 及以上版本，下载地址：https://github.com/spring-projects/spring-boot/releases

漏洞判定

版本比对检测原理：检查当前系统中 spring-boot-autoconfigure 版本是否在受影响版本内|版本比对检测结果：- spring-boot-autoconfigure
  当前安装版本：2.2.7.RELEASE
  应用相关信息：
  - 进程PID：32478
  - SpringBoot项目包路径：/opt/Cygl/cygl-0.0.1-SNAPSHOT.jar
  - SpringBoot子包名称：spring-boot-autoconfigure-2.2.7.RELEASE.jar
- spring-boot-autoconfigure
  当前安装版本：2.2.2.RELEASE
  应用相关信息：
  - 进程PID：30543
  - SpringBoot项目包路径：/home/hncy/cyglrgmq/hnrgsavedata.jar
  - SpringBoot子包名称：spring-boot-autoconfigure-2.2.2.RELEASE.jar
- spring-boot-autoconfigure
  当前安装版本：2.2.2.RELEASE
  应用相关信息：
  - 进程PID：28763
  - SpringBoot项目包路径：/home/hncy/gjglmq/hnsavedata.jar
  - SpringBoot子包名称：spring-boot-autoconfigure-2.2.2.RELEASE.jar
该主机存在此漏洞

参考

CVE-2023-20883，，CWE-400，CNNVD-202305-2284