Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Spring Framework, que permitiría a un atacante realizar denegación de servicios (DoS) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-20863, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en el control de datos de entrada en Spring Expression Language (SpEL) de Spring Framework. Esto permitiría a un atacante enviar una expresión SpEL especialmente diseñada para provocar denegación de servicios (DoS) en el sistema afectado.
Las versiones afectadas son:
- Spring Framework, versiones 6.0.0 a 6.0.7.
- Spring Framework, versiones 5.3.0 a 5.3.26.
- Spring Framework, versiones 5.2.0.RELEASE a 5.2.23.RELEASE.
- Versiones anteriores no soportadas.
Recomendamos acceder a las actualizaciones correspondientes proporcionados por el fabricante en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-20863-spring-framework-expression-dos-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2023-20863
- https://spring.io/security/cve-2023-20863
- https://github.com/spring-projects/spring-framework/releases/tag/v6.0.8
- https://github.com/spring-projects/spring-framework/releases/tag/v5.3.27
- https://github.com/spring-projects/spring-framework/releases/tag/v5.2.24.RELEASE