最近Log4j2 的核彈級(jí)漏洞剛告一段落，這個(gè)月初 Spring Cloud Gateway 又突發(fā)高危漏洞，現(xiàn)在連最要命的 Spring 框架也淪陷了。。。

今天看到了一些安全機(jī)構(gòu)發(fā)布的相關(guān)漏洞通告，Spring 官方博客也發(fā)布了漏洞聲明：

漏洞描述：

用戶可以通過(guò)制作特制的 SpEl 表達(dá)式引發(fā) DoS（拒絕服務(wù)）漏洞。

SpEL 全稱(chēng)：Spring Expression Language，即：Spring 表達(dá)式語(yǔ)言。

這玩意平時(shí)使用不多，但在關(guān)鍵時(shí)候卻很有用，比如我們?cè)?Bean 注入動(dòng)態(tài)取參數(shù)的時(shí)候經(jīng)常會(huì)遇到：

<bean?id="user"?class="cn.javastack.User"><property?name="country"?value="#{systemProperties['user.country']?}"/>... </bean>

或者基于注解的：

@Component public?class?User@Value("#{systemProperties['user.country']}")private?String?country;...}

當(dāng)然，SpEL 的功能強(qiáng)大不止于此。

影響范圍：

• Spring 5.3.0 ~ 5.3.16

• 其他老版本、不受支持的版本也會(huì)受到影響

解決方案：

• 升級(jí)到最新版本：Spring Framework 5.3.17

• Spring Boot 用戶升級(jí)到：2.5.11、2.6.5

很奇怪的是，在前幾天的 Spring Boot 2.6.5 發(fā)布說(shuō)明中并沒(méi)有說(shuō)明這個(gè)漏洞，而且版本也早于漏洞發(fā)生前發(fā)布，但卻包含了漏洞的修復(fù)，這是什么操作呢？

不管怎么樣，大家趕緊檢查升級(jí)保平安吧！

參考：https://tanzu.vmware.com/security/cve-2022-22950

有道無(wú)術(shù)，術(shù)可成；有術(shù)無(wú)道，止于術(shù)

歡迎大家關(guān)注Java之道公眾號(hào)

好文章，我在看??

總結(jié)

以上是生活随笔為你收集整理的突发！Spring 也沦陷了。。。的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。