备忘录:安全漏洞问题对客答复
漏洞 | 对客答复 | 修复版本 |
Dlink相关Fastjson漏洞 Dlink相关jackson漏洞 | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下 : 1)dlink 在dataphin中的作用 dlink 是dataphin 最底层的同步工具,用于同步数据 2)dlink 在dataphin中的运行原理 dlink 本质上就是一个同步工具,类似于linux 操作系统上面一个本地程序,运行起来后为系统一个独立进程,不会对外暴露任何端口, 非web 类程序 ,因此外部攻击者没有入口进行远程攻击; 并且在dataphin 中,每一个同步任务运行都会单独启动一个docker ,安全会得到进一步保障 3) dlink fastjson 漏洞改造成本 dlink fastjson 改造涉及到引擎和插件的改造工作,其中部分插件存在年限很久,改完以后需要对引擎和插件做全面回归,贸然改动,很可能会产生数据质量问题,风险较高 4) 后续的计划安排 dlink 本身不会产生安全风险, 但是引擎和部分插件的fastjson 版本确实比较旧了,我们计划在3.12 版本中,专门安排研发和测试人力进行版本升级,并做全面的回归测试,确保程序在客户环境运行的稳定性 基于以上原因,本次发现的漏洞因不会有安全风险,暂不做修复处理,感谢支持! | 3.12版本已修复fastjson jackson漏洞无修复计划 |
Apache POI <= 4.1.0 XXE 漏洞 (CVE-2019-12415) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: 该问题仅在类xlsx文件转XSS时可能引发,经排查Dataphin并未使用该类库的该方法,不受漏洞影响 基于以上原因,本次发现的漏洞因不会有安全风险,暂不做修复处理,感谢支持! | 暂无计划 |
CVE-2020-26945的攻击条件(开启Mybatis的二级缓存) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: 该漏洞需开启 Mybastis的二级缓存才能构成攻击条件,Dataphin并未使用该能力 | 暂无计划 |
Apache Commons Text StringLookup 远程代码执行漏洞(CVE-2022-42889) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: 该Jar包为csv二方包引入,Dataphin并未使用该包提供的能力 | 暂无计划 |
暂无计划 | ||
暂无计划 | ||
MyBatis 远程代码执行漏洞(CVE-2020-26945) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: 该问题仅在MyBatis开启二级缓存时会出发,而dataphin并未开启二级缓存的功能,不构成攻击条件 | 3.11.0 |
Apache Log4j2 远程代码执行漏洞(CVE-2021-44832) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下 : 数据集成任务运行在容器中,容器IP地址为动态分配的内部IP地址,且集成任务运行完成后容器立即销毁,极难构成攻击条件 | 暂无计划 |
Apache Kafka Connect远程代码执行漏洞(CVE-2023-25194) | Apache kafka connect的漏洞可忽略,Dataphin未使用kafka connect,仅仅是使用kafka client获取topic列表等操作 | 暂无计划 |
反射型XSS漏洞 | 经阿里侧研发评估,在 dataphin 中有另外的修复方案,具体说明如下:
| 3.13.0 |
Python 命令注入漏洞(CVE-2015-20107) Python 注入漏洞(CVE-2022-0391) Python 安全漏洞(CVE-2023-27043) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: 在dataphin 中,每一个python任务运行都会单独启动一个docker ,不会影响到别的任务。 | 暂无计划 |
PostgreSQL 安全漏洞(CVE-2022-2625) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: Dataphin使用PG作为底层元数据存储,用户无法接触到PG,因此不会触发相关漏洞 | 暂无计划 |
CVE-2023-34454 (org.xerialsnappy:snappy-java:1.0.4.1 安全漏洞 ) | 经过阿里侧研发评估,在dataphin 中并不会产生安全风险, 具体说明如下: 该Jar包为Hadoop、Kafka、Paimon等SDK二方包引入,Dataphin并未使用该包提供的能力 | 暂无计划 |
XStream high-risk vulnerability collection | 4.3.0版本修复 | |
Spring Cloud Gateway 代码执行漏洞(CVE-2025-41243) | actuator endpoints未开启,不会触发此漏洞 | 暂无计划 |
Spring漏洞 CVE-2024-38819 | Dataphin未使用RouterFunctions,不会触发此漏洞 | 暂无计划 |
Spring漏洞 CVE-2024-38816 | Dataphin未使用RouterFunctions,不会触发此漏洞 | 暂无计划 |
Spring漏洞 CVE-2024-38821 | Dataphin无Webflux应用,不会触发此漏洞 | 暂无计划 |
Spring相关漏洞(以下漏洞将在4.3.0版本中进行修复)
漏洞编号 | subject | description |
CVE-2016-1000027 | Vmware Spring Framework 代码问题漏洞 CVE-2016-1000027 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.14.RELEASE CVE:CVE-2016-1000027 CNNVD:CNNVD-202001-046 CVSS:9.8 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Software Spring Framework 4.1.4版本中存在安全漏洞。攻击者可利用该漏洞执行代码。 |
CVE-2018-1259 | Pivotal Spring Data Commons 安全漏洞 CVE-2018-1259 | 漏洞组件:pkg:maven/org.springframework.data/spring-data-commons@2.0.6.RELEASE CVE:CVE-2018-1259 CNNVD:CNNVD-201805-403 CVSS:7.5 Pivotal Spring Data Commons是美国Pivotal Software公司的一个为数据访问提供基于Spring模型的项目。 Pivotal Spring Data Commons 1.13.12之前的1.13版本和2.0.7之前的2.0版本中存在安全漏洞,该漏洞源于程序没有正确的限制XML外部实体的引用。当与XMLBeam 1.4.14及之前版本一起使用时,远程攻击者可通过提交特制的请求参数利用该漏洞访问系统上的任意文件。 |
CVE-2018-1272 | Pivotal Spring Framework 权限许可和访问控制问题漏洞 CVE-2018-1272 | 漏洞组件:pkg:maven/org.springframework/spring-core@4.3.8.RELEASE CVE:CVE-2018-1272 CNNVD:CNNVD-201804-243 CVSS:7.5 Pivotal Software Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Software Spring Framework 5.0.5之前的5.0 版本、4.3.15之前的4.3 版本和不再支持的老版本中存在权限许可和访问控制问题漏洞。远程攻击者可通过发送特制的请求利用该漏洞获取提升的权限。 |
CVE-2020-5397 | Pivotal Software Spring Framework 跨站请求伪造漏洞 CVE-2020-5397 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.2.2.RELEASE CVE:CVE-2020-5397 CNNVD:CNNVD-202001-841 CVSS:5.3 Pivotal Software Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Software Spring Framework 5.2.3之前的5.2.x版本中存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。 |
CVE-2020-5398 | Vmware Spring Framework 跨站脚本漏洞 CVE-2020-5398 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.4.RELEASE CVE:CVE-2020-5398 CNNVD:CNNVD-202001-839 CVSS:7.5 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Software Spring Framework 5.2.3之前的5.2.x版本、5.1.13之前的5.1.x版本和5.0.16之前的5.0.x版本中存在跨站脚本漏洞。远程攻击者可通过实施反射型文件下载(RFD)攻击利用该漏洞获取敏感信息。 |
CVE-2020-5408 | Vmware VMware Spring Security 安全特征问题漏洞 CVE-2020-5408 | 漏洞组件:pkg:maven/org.springframework.security/spring-security-core@5.1.8.RELEASE CVE:CVE-2020-5408 CNNVD:CNNVD-202005-793 CVSS:6.5 Vmware VMware Spring Security是美国威睿(Vmware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security中存在安全特征问题漏洞。攻击者可借助字典攻击利用该漏洞获取未加密的值。以下产品及版本受到影响:Spring Security 5.3.2之前的5.3.x版本,5.2.4之前的5.2.x版本,5.1.10之前的5.1.x版本,5.0.16之前的5.0.x版本,4.2.16之前的4.2.x版本。 |
CVE-2020-5421 | Vmware Spring Framework 安全漏洞 CVE-2020-5421 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.14.RELEASE CVE:CVE-2020-5421 CNNVD:CNNVD-202009-1050 CVSS:6.5 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 VMware Tanzu Spring Framework存在安全漏洞,该漏洞源于jsessionid路径参数绕过,以下产品及版本受到影响:5.2.0 - 5.2.8、5.1.0至5.1.17、5.0.0至5.0.18、4.3.0至4.3.28以及更早的不受支持的版本。 |
CVE-2021-22047 | VMware Spring Security 安全漏洞 CVE-2021-22047 | 漏洞组件:pkg:maven/org.springframework.boot/spring-boot-actuator@2.1.13.RELEASE CVE:CVE-2021-22047 CNNVD:CNNVD-202110-2114 CVSS:5.3 VMware Spring Security是美国威睿(VMware )公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 Spring Data REST存在安全漏洞,该漏洞源于使用已配置的基本API路径和控制器类型级请求映射的自定义控制器实现的HTTP资源在uri下额外公开,根据Spring Security配置,uri可能会公开用于未经授权的访问。 |
CVE-2021-22060 | Vmware Spring Framework 安全漏洞 CVE-2021-22060 | 漏洞组件:pkg:maven/org.springframework/spring-core@5.1.14.RELEASE CVE:CVE-2021-22060 CNNVD:CNNVD-202201-454 CVSS:4.3 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Vmware Spring Framework存在安全漏洞,攻击者可利用该漏洞通过日志注入绕过Spring框架的访问限制从而修改数据。 |
CVE-2021-22096 | Vmware Spring Framework 安全漏洞 CVE-2021-22096 | 漏洞组件:pkg:maven/org.springframework/spring-core@5.1.14.RELEASE CVE:CVE-2021-22096 CNNVD:CNNVD-202110-1810 CVSS:4.3 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Vmware Spring Framework 存在安全漏洞,该漏洞源于通过日志注入绕过 Spring Framework 的访问限制,以更改数据。 |
CVE-2021-22112 | Vmware VMware Spring Security 权限许可和访问控制问题漏洞 CVE-2021-22112 | 漏洞组件:pkg:maven/org.springframework.security/spring-security-web@5.1.8.RELEASE CVE:CVE-2021-22112 CNNVD:CNNVD-202102-1431 CVSS:8.8 Vmware VMware Spring Security是美国威睿(Vmware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security 中存在权限许可和访问控制问题漏洞。该漏洞源于攻击者可以通过Spring Security的多个SecurityContext更改绕过限制,以提升其权限。以下产品及版本受到影响:Spring Security 5.4.0 至 5.4.3 版本, Spring Security 5.3.0.RELEASE 至 5.3.7.RELEASE 版本, Spring Security 5.2.0.RELEASE 至 5.2.8.RELEASE 版本。 |
CVE-2021-22118 | Vmware Spring Framework 权限许可和访问控制问题漏洞 CVE-2021-22118 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.14.RELEASE CVE:CVE-2021-22118 CNNVD:CNNVD-202105-1663 CVSS:7.8 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在权限许可和访问控制问题漏洞,该漏洞允许攻击者绕过访问限制来读取或修改数据。 |
CVE-2022-22950 | Vmware Spring Framework 安全漏洞 CVE-2022-22950 | 漏洞组件:pkg:maven/org.springframework/spring-expression@5.1.14.RELEASE CVE:CVE-2022-22950 CNNVD:CNNVD-202203-2333 CVSS:6.5 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Vmware Spring Framework 5.3.16 之前的 5.3 版本以及更老的不受支持的版本存在安全漏洞,该漏洞源于特制的 SpEL 表达式可能会导致拒绝服务。 |
CVE-2022-22965 | Spring Framework 代码注入漏洞 CVE-2022-22965 | 漏洞组件:pkg:maven/org.springframework/spring-beans@5.1.14.RELEASE CVE:CVE-2022-22965 CNNVD:CNNVD-202203-2514 CVSS:9.8 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在代码注入漏洞,该漏洞源于 JDK 9+ 上的数据绑定的 RCE。以下产品和版本受到影响:5.3.0 至 5.3.17、5.2.0 至 5.2.19、较旧的和不受支持的版本也会受到影响。 |
CVE-2022-22968 | Vmware Spring Framework 安全特征问题漏洞 CVE-2022-22968 | 漏洞组件:pkg:maven/org.springframework/spring-context@5.1.14.RELEASE CVE:CVE-2022-22968 CNNVD:CNNVD-202204-3302 CVSS:5.3 Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Vmware Spring Framework存在安全特征问题漏洞,该漏洞源于DataBinder上disallowedFields的模式是区分大小写的,这意味着字段没有得到有效保护,除非该字段的第一个字符同时以大写和小写字母列出,包括属性路径中所有嵌套字段的第一个字符的大写和小写字母。远程攻击者利用该漏洞可以绕过实施的安全限制。 |
CVE-2022-22970 | Spring Framework 输入验证错误漏洞 CVE-2022-22970 | 漏洞组件:pkg:maven/org.springframework/spring-beans@5.1.14.RELEASE CVE:CVE-2022-22970 CNNVD:CNNVD-202205-2988 CVSS:5.3 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在输入验证错误漏洞,攻击者利用该漏洞可通过将数据绑定到MultipartFile导致Spring Framework致命的错误,从而触发拒绝服务。 |
CVE-2022-22971 | Spring Framework 输入验证错误漏洞 CVE-2022-22971 | 漏洞组件:pkg:maven/org.springframework/spring-messaging@5.1.14.RELEASE CVE:CVE-2022-22971 CNNVD:CNNVD-202205-2980 CVSS:6.5 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework存在输入验证错误漏洞。攻击者利用该漏洞通过 WebSocket 上的 STOMP 导致 Spring Framework 的致命错误,以触发拒绝服务。 |
CVE-2022-22976 | Spring Framework 输入验证错误漏洞 CVE-2022-22976 | 漏洞组件:pkg:maven/org.springframework.security/spring-security-crypto@5.1.8.RELEASE CVE:CVE-2022-22976 CNNVD:CNNVD-202205-3586 CVSS:5.3 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在输入验证错误漏洞,该漏洞源于整数溢出错误。 |
CVE-2022-22978 | Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) | |
CVE-2022-27772 | VMware Spring Boot 安全漏洞 CVE-2022-27772 | 漏洞组件:pkg:maven/org.springframework.boot/spring-boot@2.1.13.RELEASE CVE:CVE-2022-27772 CNNVD:CNNVD-202203-2610 CVSS:7.8 VMware Spring Boot是美国威睿(VMware)公司的一套开源框架。 VMware Spring Boot 2.2.11 之前版本存在安全漏洞,该漏洞源于容易受到临时目录劫持。 |
CVE-2022-31679 | VMware Spring Data REST 安全漏洞 CVE-2022-31679 | 漏洞组件:pkg:maven/org.springframework.data/spring-data-rest-webmvc@3.1.16.RELEASE CVE:CVE-2022-31679 CNNVD:CNNVD-202209-1731 CVSS:3.7 VMware Spring Data REST是美国VMware公司的一种数据接口。用于构建在 Spring Data 存储库之上,分析应用程序的域模型,并为模型中包含的聚合公开超媒体驱动的 HTTP 资源。 VMware Spring Data REST 3.5.5版本至3.6.0版本、3.7.0版本至3.7.2版本存在安全漏洞。攻击者利用该漏洞可以创建暴露隐藏实体属性的HTTP请求。 |
CVE-2022-31690 | VMware Spring Security 安全漏洞 CVE-2022-31690 | 漏洞组件:pkg:maven/org.springframework.security/spring-security-oauth2-client@5.2.11.RELEASE CVE:CVE-2022-31690 CNNVD:CNNVD-202210-2598 CVSS:8.1 VMware Spring Security是美国威睿(VMware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security 5.7.5之前的5.7.x版本和5.6.9之前的5.6.x版本存在安全漏洞,该漏洞源于恶意用户或攻击者可以通过浏览器修改客户端向授权服务器发起的请求,这可能导致后续的权限升级。 |
CVE-2023-20861 | Spring Framework 安全漏洞 CVE-2023-20861 | 漏洞组件:pkg:maven/org.springframework/spring-expression@5.2.2.RELEASE CVE:CVE-2023-20861 CNNVD:CNNVD-202303-1917 CVSS:6.5 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 6.0.0 到 6.0.6、5.3.0 到 5.3.25、5.2.0 到 5.2.22版本以及不受支持得版本存在安全漏洞,该漏洞源于用户提供的特制 SpEL 表达式可能会导致拒绝服务 (DoS) 。 |
CVE-2023-20863 | Spring Framework 安全漏洞 CVE-2023-20863 | 漏洞组件:pkg:maven/org.springframework/spring-expression@5.1.14.RELEASE CVE:CVE-2023-20863 CNNVD:CNNVD-202304-1094 CVSS:6.5 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework存在安全漏洞,该漏洞源于通过提供特制的 SpEL 表达式会导致拒绝服务 (DoS) 。受影响的产品和版本:spring framework 5.2.24 release及之前版本,5.3.27及之前版本, 6.0.8及之前版本。 |
CVE-2023-20873 | Spring Framework 安全漏洞 CVE-2023-20873 | 漏洞组件:pkg:maven/org.springframework.boot/spring-boot-actuator-autoconfigure@2.1.13.RELEASE CVE:CVE-2023-20873 CNNVD:CNNVD-202304-1732 CVSS:9.8 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Boot存在安全漏洞,该漏洞源于使用通配符模式匹配存在安全绕过。 |
CVE-2023-20883 | Spring Framework 资源管理错误漏洞 CVE-2023-20883 | 漏洞组件:pkg:maven/org.springframework.boot/spring-boot-autoconfigure@2.1.13.RELEASE CVE:CVE-2023-20883 CNNVD:CNNVD-202305-2284 CVSS:7.5 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在安全漏洞,该漏洞源于如果Spring MVC与反向代理缓存一起使用,可能会出现拒绝服务(DoS)攻击。 |
CVE-2023-34034 | VMware Spring Security 安全漏洞 CVE-2023-34034 | 漏洞组件:pkg:maven/org.springframework.security/spring-security-config@5.1.8.RELEASE CVE:CVE-2023-34034 CNNVD:CNNVD-202307-1680 CVSS:9.8 VMware Spring Security是美国威睿(VMware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security存在安全漏洞,该漏洞源于存在模式匹配不匹配问题,可能导致安全绕过。 |
CVE-2024-22243 | Spring Framework 安全漏洞 CVE-2024-22243 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.14.RELEASE CVE:CVE-2024-22243 CNNVD:CNNVD-202402-1929 CVSS:8.1 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework存在安全漏洞,该漏洞源于使用UriComponentsBuilder解析外部提供的URL时容易受到开放重定向或服务器请求伪造(SSRF)攻击。受影响的产品和版本:Spring Framework 6.1.0至6.1.3版本,6.0.0至6.0.16版本,5.3.0至5.3.31版本。 |
CVE-2024-22257 | VMware Spring Security 安全漏洞 CVE-2024-22257 | 漏洞组件:pkg:maven/org.springframework.security/spring-security-core@5.1.8.RELEASE CVE:CVE-2024-22257 CNNVD:CNNVD-202403-1650 CVSS:8.2 VMware Spring Security是美国威睿(VMware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security 6.2.0至6.2.2、6.1.0至6.1.7、6.0.0 至 6.0.9、5.8.0 至 5.8.10、5.7.0至5.7.11版本存在安全漏洞,该漏洞源于当直接使用 AuthenticatedVoter#vote 传递空身份验证参数时,会破坏访问控制。 |
CVE-2024-22259 | Spring Framework 安全漏洞 CVE-2024-22259 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.14.RELEASE CVE:CVE-2024-22259 CNNVD:CNNVD-202403-1543 CVSS:8.1 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework存在安全漏洞,该漏洞源于容易受到开放重定向的攻击。 |
CVE-2024-22262 | Spring Framework 安全漏洞 CVE-2024-22262 | 漏洞组件:pkg:maven/org.springframework/spring-web@5.1.14.RELEASE CVE:CVE-2024-22262 CNNVD:CNNVD-202404-2193 CVSS:8.1 Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework存在安全漏洞,该漏洞源于容易受到开放重定向的攻击或服务器端请求伪造(SSRF)攻击。 |
CVE-2025-4123 | Grafana 安全漏洞 | 这个漏洞是grafana匿名访问才会有的问题,我们部署的grafana都是配置了账密认证的,没有影响不需要处理 |