Code Intelligence是一家自动化软件安全公司,最近在流行的Spring Framework中发现了一个重大的拒绝服务 (DoS) 漏洞 (CVE-2023-20863)。值得注意的是,这是该公司在短短几周内在框架中发现的第二个 DoS 漏洞。
先前在 Spring Framework 中发现的漏洞 CVE-2023-20861 的 CVSS(通用漏洞评分系统)评分为 5.3。相比之下,新发现的漏洞具有更高的 CVSS 评分 7.5,表明存在更严重的安全问题。
为了增强开源软件的安全性, Code Intelligence通过在 Google OSS-Fuzz 程序中使用其 JVM 模糊测试引擎 Jazzer 测试项目发现了该漏洞。
由于此漏洞,依赖于易受攻击的Spring Framework版本的大量应用程序面临服务器可用性问题的巨大风险。受影响的版本包括:
- 6.0.0 至 6.0.7
- 5.3.0 至 5.3.26
- 5.2.0 至 5.2.23.RELEASE
发现之后, Code Intelligence已发布修复程序来解决 CVE。这些补救措施包括对重复文本的大小实施限制检查,以及控制匹配运算符中使用的正则表达式的长度。
敦促受此漏洞影响的用户升级到包含这些修复程序的更新版本。具体来说,使用6.0.x版本的用户升级到6.0.8+,使用5.3.x的用户升级到5.3.27+,使用5.2.x的用户升级到5.2.24.RELEASE+。
确保应用程序开发中的最高安全标准至关重要,尤其是对于寻求更简化流程的企业而言。 AppMaster等No-code和low-code平台可以帮助开发人员快速构建 Web、移动和后端应用程序,同时保持安全性和可扩展性。 appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href=" appmaster -no-code-low-code-app-development-for-2022"> No-code和low-code应用程序开发工具越来越普遍,使组织能够创建全面的软件解决方案,提高效率并降低漏洞风险。