springframework: 5.3.x < 5.3.43 / 6.0.x < 6.0.28 / 6.1.x < 6.1.20 / 6.2.x < 6.2.7 (CVE-2025-22233)
low Nessus Plugin ID 237119
語言:
概要
遠端主機缺少安全性更新。說明
遠端主機上安裝的 Spring_framework 版本早於 5.3.43、6.0.28、6.1.20 或 6.2.7。因此,此版本會受到 CVE-2025-22233 公告中提及的一個弱點影響。- CVE-2024-38820 已確保 disallowedFields 的模式與請求參數名稱皆以不依賴語系的方式轉換為小寫。 不過,仍有可能繞過 disallowedFields 檢查。受影響的 Spring 產品和版本 Spring Framework: * 6.2.0 - 6.2.6 * 6.1.0 - 6.1.19 * 6.0.0 - 6.0.27 * 5.3.0 - 5.3.42 * 不受支援的舊版也會受到影響 緩解措施 受影響版本的使用者應升級至對應的已修復版本。受影響版本的已修復版本可用性 6.2.x 6.2.7 OSS6.1.x 6.1.20 OSS6.0.x 6.0.28 商用 https://enterprise.spring.io/ 5.3.x 5.3.43 商用 https://enterprise.spring.io/ 不需要進一步實施緩解措施。一般來說,我們建議使用專屬的模型物件,其屬性僅用於資料繫結,或是使用建構子繫結,因為建構子的參數會明確宣告哪些資料要繫結,同時可透過 declarativeBinding 旗標關閉 setter 繫結功能。請參閱參考文件中的「模型設計」一節。針對設定繫結,建議使用 allowedFields (明確清單) 而非 disallowedFields。報告者:此問題是由 NTT DATA Group Corporation 的 TERASOLUNA Framework 開發團隊負責報告。(CVE-2025-22233)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Spring_framework 5.3.43 / 6.0.28 / 6.1.20 / 6.2.7 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 237119
檔案名稱: spring_framework_CVE-2025-22233.nasl
版本: 1.2
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2025/5/22
已更新: 2025/5/23
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v3
風險因素: Low
基本分數: 3.1
時間性分數: 2.7
媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:pivotal_software:spring_framework, cpe:/a:vmware:spring_framework
必要的 KB 項目: installed_sw/Spring Framework
修補程式發佈日期: 2025/5/15
弱點發布日期: 2025/5/16
參考資訊
CVE: CVE-2025-22233
IAVA: 2025-A-0364