遠端主機上安裝的 Spring_framework 版本早於 5.3.43、6.0.28、6.1.20 或 6.2.7。因此，此版本會受到 CVE-2025-22233 公告中提及的一個弱點影響。

  - CVE-2024-38820 已確保 disallowedFields 的模式與請求參數名稱皆以不依賴語系的方式轉換為小寫。   不過，仍有可能繞過 disallowedFields 檢查。受影響的 Spring 產品和版本 Spring Framework: * 6.2.0 - 6.2.6 * 6.1.0 - 6.1.19 * 6.0.0 - 6.0.27 * 5.3.0 - 5.3.42 * 不受支援的舊版也會受到影響 緩解措施 受影響版本的使用者應升級至對應的已修復版本。受影響版本的已修復版本可用性 6.2.x 6.2.7 OSS6.1.x 6.1.20 OSS6.0.x 6.0.28 商用 https://enterprise.spring.io/ 5.3.x 5.3.43 商用 https://enterprise.spring.io/ 不需要進一步實施緩解措施。一般來說，我們建議使用專屬的模型物件，其屬性僅用於資料繫結，或是使用建構子繫結，因為建構子的參數會明確宣告哪些資料要繫結，同時可透過 declarativeBinding 旗標關閉 setter 繫結功能。請參閱參考文件中的「模型設計」一節。針對設定繫結，建議使用 allowedFields (明確清單) 而非 disallowedFields。報告者：此問題是由 NTT DATA Group Corporation 的 TERASOLUNA Framework 開發團隊負責報告。(CVE-2025-22233)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

springframework: 5.3.x < 5.3.43 / 6.0.x < 6.0.28 / 6.1.x < 6.1.20 / 6.2.x < 6.2.7 (CVE-2025-22233)

low Nessus Plugin ID 237119

找不到依附元件