我们注意到 spring-security-saml 示例应用程序包含一个 XML 外部实体 (XXE) 漏洞。这意味着恶意用户可以查看 Spring 应用程序进程有权访问的任何文件。

该问题是 OpenSAML Java ParserPool 和 Decrypter 容易受到 XML 攻击 的直接结果。ParserPool 实现的默认行为已在 OpenSAML 2.6.1+（Spring Security SAML 使用）中修复。但是，如果用户在没有正确设置的情况下构建自己的 ParserPool，则仍然可能存在漏洞。

注意

我们不认为这是一个 CVE，因为该漏洞仅在示例应用程序中发现，该应用程序不被视为生产代码。但是，我们希望我们的用户可能已经复制了这段代码来创建他们自己的应用程序。 因此，我们希望保持透明并传达问题和修复方法。

修复

示例应用程序已在 925c892 中通过删除对 ParserPool 的自定义修复。

用户应确保根据 OpenSAML 安全公告中的“建议”部分修复了任何使用 OpenSAML 的应用程序。 Commit 925c892 可以用作符合“建议”部分的一种方式的模型。

补充信息

• OWASP XXE 防护备忘单

• OpenSAML 安全公告

鸣谢

该问题由 Bishop Fox 的 Max Justicz 和 Nick Freeman (https://www.bishopfox.com) 负责任地披露。