一、漏洞詳情

Spring Boot是一個(gè)基于Java的開(kāi)源框架，目的是為了簡(jiǎn)化Spring應(yīng)用的初始搭建以及開(kāi)發(fā)過(guò)程。

Spring發(fā)布安全公告，修復(fù)了Spring Boot中的一個(gè)拒絕服務(wù)漏洞（CVE-2023-20883）。Spring Boot某些受影響版本中，如果Spring MVC與反向代理緩存一起使用，則Spring Boot在歡迎頁(yè)面容易受到拒絕服務(wù)(DoS)攻擊。如果應(yīng)用程序啟用了Spring MVC自動(dòng)配置、使用了Spring Boot的歡迎頁(yè)面支持，且應(yīng)用程序部署在緩存404響應(yīng)的代理之后，則應(yīng)用程序容易受到攻擊。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Spring Boot 3.0.x版本：3.0.0 - 3.0.6

Spring Boot 2.7.x版本：2.7.0 - 2.7.11

Spring Boot 2.6.x版本：2.6.0 - 2.6.14

Spring Boot 2.5.x版本：2.5.0 - 2.5.14

以及不受支持的舊版本。

三、修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可升級(jí)到以下版本：

Spring Boot 3.0.x版本：>= 3.0.7

Spring Boot 2.7.x版本：>= 2.7.12

Spring Boot 2.6.x版本：>= 2.6.15

Spring Boot 2.5.x版本：>= 2.5.15

使用不受支持的舊版本的用戶(hù)：升級(jí)到3.0.7、2.7.12或更高版本。

下載鏈接：https://github.com/spring-projects/spring-boot/tags