我们注意到spring-security-saml示例应用程序包含一个XML外部实体(XXE)漏洞。这意味着恶意用户可以查看Spring应用程序进程可以访问的任何文件。

这个问题是OpenSAML Java ParserPool和解密器易受XML攻击的直接结果。ParserPool实现的默认行为在OpenSAML 2.6.1+（Spring Security SAML使用）中已修复。但是，如果用户构建自己的ParserPool且没有正确的设置，则仍然可能存在此漏洞。

注意

我们认为这不是一个CVE，因为此漏洞仅在示例应用程序中发现，而该应用程序不被认为是生产代码。但是，我们预计我们的用户可能已复制此代码来创建他们自己的应用程序。因此，我们希望保持透明，并沟通此问题和解决方案。

解决方案

示例应用程序已在925c892中通过删除对ParserPool的自定义修复。

用户应确保根据OpenSAML安全公告中的“建议”部分修复使用OpenSAML的任何应用程序。提交925c892可以用作符合“建议”部分的一种方法的示例。

更多信息

• OWASP XXE预防备忘单

• OpenSAML安全公告

致谢

此问题由Bishop Fox的Max Justicz和Nick Freeman负责披露(https://www.bishopfox.com)。