最近Log4j2 的核彈級漏洞剛告一段落，這個月初 Spring Cloud Gateway 又突發(fā)高危漏洞，現(xiàn)在連最要命的 Spring 框架也淪陷了。。。

今天看到了一些安全機構(gòu)發(fā)布的相關(guān)漏洞通告，Spring 官方博客也發(fā)布了漏洞聲明：

漏洞描述：

用戶可以通過制作特制的 SpEl 表達式引發(fā) DoS（拒絕服務(wù)）漏洞。

SpEL 全稱：Spring Expression Language，即：Spring 表達式語言。

這玩意平時使用不多，但在關(guān)鍵時候卻很有用，比如我們在 Bean 注入動態(tài)取參數(shù)的時候經(jīng)常會遇到：

<bean?id="user"?class="cn.javastack.User"><property?name="country"?value="#{systemProperties['user.country']?}"/>... </bean>

或者基于注解的：

@Component public?class?User@Value("#{systemProperties['user.country']}")private?String?country;...}

當然，SpEL 的功能強大不止于此。

影響范圍：

• Spring 5.3.0 ~ 5.3.16

• 其他老版本、不受支持的版本也會受到影響

解決方案：

• 升級到最新版本：Spring Framework 5.3.17

• Spring Boot 用戶升級到：2.5.11、2.6.5

很奇怪的是，在前幾天的 Spring Boot 2.6.5 發(fā)布說明中并沒有說明這個漏洞，而且版本也早于漏洞發(fā)生前發(fā)布，但卻包含了漏洞的修復(fù)，這是什么操作呢？

不管怎么樣，大家趕緊檢查升級保平安吧！

參考：https://tanzu.vmware.com/security/cve-2022-22950

有道無術(shù)，術(shù)可成；有術(shù)無道，止于術(shù)

歡迎大家關(guān)注Java之道公眾號

好文章，我在看??

總結(jié)

以上是生活随笔為你收集整理的突发！Spring 也沦陷了。。。的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。