Code Intelligence 披露 Spring Framework 中第二个 CVSS 评分较高的 DoS 漏洞

Code Intelligence是一家自动化软件安全公司，最近在流行的Spring Framework中发现了一个重大的拒绝服务 (DoS) 漏洞 (CVE-2023-20863)。值得注意的是，这是该公司在短短几周内在框架中发现的第二个 DoS 漏洞。

先前在 Spring Framework 中发现的漏洞 CVE-2023-20861 的 CVSS（通用漏洞评分系统）评分为 5.3。相比之下，新发现的漏洞具有更高的 CVSS 评分 7.5，表明存在更严重的安全问题。

为了增强开源软件的安全性， Code Intelligence通过在 Google OSS-Fuzz 程序中使用其 JVM 模糊测试引擎 Jazzer 测试项目发现了该漏洞。

由于此漏洞，依赖于易受攻击的Spring Framework版本的大量应用程序面临服务器可用性问题的巨大风险。受影响的版本包括：

• 6.0.0 至 6.0.7
• 5.3.0 至 5.3.26
• 5.2.0 至 5.2.23.RELEASE

发现之后， Code Intelligence已发布修复程序来解决 CVE。这些补救措施包括对重复文本的大小实施限制检查，以及控制匹配运算符中使用的正则表达式的长度。

敦促受此漏洞影响的用户升级到包含这些修复程序的更新版本。具体来说，使用6.0.x版本的用户升级到6.0.8+，使用5.3.x的用户升级到5.3.27+，使用5.2.x的用户升级到5.2.24.RELEASE+。

确保应用程序开发中的最高安全标准至关重要，尤其是对于寻求更简化流程的企业而言。 AppMaster等No-code和low-code平台可以帮助开发人员快速构建 Web、移动和后端应用程序，同时保持安全性和可扩展性。 [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href=" appmaster -no-code-low-code-app-development-for-2022"> No-code和low-code应用程序开发工具](https://<span class=) 越来越普遍，使组织能够创建全面的软件解决方案，提高效率并降低漏洞风险。