我们注意到 spring-security-saml 示例应用程序存在XML 外部实体 (XXE) 漏洞。这意味着恶意用户可以查看 Spring 应用程序进程可以访问的任何文件。

该问题是 OpenSAML Java ParserPool 和 Decrypter 易受 XML 攻击的直接结果。ParserPool 实现的默认行为已在 OpenSAML 2.6.1+（Spring Security SAML 使用的版本）中修复。但是，如果用户在没有正确设置的情况下自行构造 ParserPool，则该漏洞仍然存在。

注意

我们并未将其视为 CVE，因为该漏洞仅在示例应用程序中发现，而示例应用程序不被视为生产代码。但是，我们预计我们的用户可能会复制此代码来创建自己的应用程序。因此，我们希望保持透明，沟通该问题及其修复方法。

修复方法

示例应用程序已在925c892中通过删除对 ParserPool 的自定义设置来修复。

用户应确保所有使用 OpenSAML 的应用程序都已根据 OpenSAML 安全公告中的“建议”部分进行了修复。提交 925c892 可以作为符合“建议”部分的一种方式的模型。

其他信息

• OWASP XXE 预防备忘单

• OpenSAML 安全公告

致谢

此问题由 Bishop Fox (https://www.bishopfox.com) 的 Max Justicz 和 Nick Freeman 负责任地披露。