آسیبپذیری با شناسه CVE-2024-22233 و شدت بالا 7.5 در Spring Framework VMware کشف شد که امکان انکار سرویس (DoS) از طریق ارائه و ارسال درخواستهای HTTP مخرب و ساختگی را برای مهاجم فراهم میآورد. این آسیبپذیری دسترسپذیری را تحت تأثیر قرار داده و بر محرمانگی و یکپارچگی تاثیری ندارد.
برنامه هنگامی آسیبپذیر است که شامل تمام موارد زیر باشد:
1. برنامه از Spring MVC استفاده کند.
2. Spring Security 6.1.6+ یا 6.2.1+ در مسیر کلاس (classpath) باشد.
*به طور معمول، برنامههای Spring Boot به وابستگیهای org.springframework.boot:spring-boot-starter-web و org.springframework.boot:spring-boot-starter-security نیاز دارند تا همه شرایط را فراهم کنند.
محصولات تحت تأثیر
این آسیبپذیری محصول VMware شامل Spring Framework نسخههای 6.0.15 و 6.1.2 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Spring Framework به نسخههای 6.0.16 و 6.1.3 اقدام نمایند.
منبع خبر:
- 55