大家好,我是堆栈管理员。最近技术栈真是醉了。Log4j2的核弹级漏洞才告一段落。本月初,SpringCloudGateway突然出现高危漏洞。现在连最致命的Spring框架都倒下了。..栈长今天看到一些安全机构发布的相关漏洞公告,Spring官博也发布了漏洞声明:漏洞描述:用户可以通过制作特制的SpEl表达式触发DoS(拒绝服务)漏洞。SpEL的全称:SpringExpressionLanguage,即:SpringExpressionLanguage。这东西平时用的不多,关键时候却很有用。比如我们在给bean注入动态参数的时候,经常会遇到:...或基于注解:@ComponentpublicclassUser@Value("#{systemProperties['user.country']]}")privateStringcountry;...}当然,SpEL的强大之处不止于此。影响范围:Spring5.3.0~5.3.16其他不支持的旧版本也会受到影响解决方法:升级到最新版本:SpringFramework5.3.17SpringBoot用户升级到:2.5.11、2.6.5很奇怪问题在于,前几天的SpringBoot2.6.5发行说明中并没有说明这个漏洞,发布的版本早于该漏洞,但是包含了漏洞的修复。这是什么操作?无论如何,请检查并升级以确保安全!最后,如果你想关注和学习最新最主流的Java技术,可以持续关注公众号Java技术栈,公众号会第一时间推送。参考:https://tanzu.vmware.com/secu...版权声明:本文原创自公众号《Java技术栈》。+投诉,并保留追究其法律责任的权利。近期热点文章推荐:1.1000+Java面试题及答案(2022最新版)2.厉害了!Java协程来了。..3.SpringBoot2.x教程,太全面了!4.不要用爆破爆满画面,试试装饰者模式,这才是优雅的方式!!5.《Java开发手册(嵩山版)》最新发布,赶快下载吧!感觉不错,别忘了点赞+转发!
