技术文章 - CS366731

Spring 漏洞 (CVE-2022-22963、CVE-2022-22950、CVE-2022-22965) – 对 Windchill RV&S(以前称为 Integrity Lifecycle Manager)的影响

已修改: 19-Apr-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • PTC RV&S (formerly Integrity Lifecycle Manager) 12.3.1.0 to 13.0

说明

  • Spring 报告了多个漏洞,包括零日关键 RCE(远程代码执行)
  • CVE-2022-22965 (Spring4Shell)
    • CVSS 分数(黑鸭):9.8(临界)
    • 描述:在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序被部署为 Spring Boot 可执行 jar,即默认值,则它不容易受到漏洞利用。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。
    • 缓解措施:更新到 Spring Framework 5.3.18
    • 适用性:参见 Winchill RV&S 13.0 的分辨率
  • CVE-2022-22963
    • CVSS 分数 (VMware) = 5.4
    • 说明:在 Spring Cloud Function 版本 3.1.6、3.2.2 和不受支持的旧版本中,当使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,这可能会导致访问本地资源。
    • 缓解:受影响版本的用户应升级到 3.1.7、3.2.3。不需要其他步骤。
    • 适用性:不适用于 WRV&S。没有影响。
  • CVE-2022-22950
    • CVSS 分数 (VMware) = 5.4
    • 说明:在 Spring Framework 版本 5.3.0 - 5.3.16 和更旧的不受支持的版本中,用户可以提供可能导致拒绝服务条件的特制 SpEL 表达式。
    • 缓解:受影响版本的用户应升级到 5.3.17+。不需要其他步骤。
    • 适用性:见分辨率
这是文章 366731 的 PDF 版本,可能已过期。最新版本 CS366731