描述

Spring OXM包装器在使用JAXB反序列化器时没有公开任何用于禁用实体解析的属性。有四种可能的源实现传递给反序列化器：DOMSource、StAXSource、SAXSource和StreamSource。

对于DOMSource，XML已由用户代码解析，并且该代码负责防止XXE。

对于StAXSource，XMLStreamReader已由用户代码创建，并且该代码负责防止XXE。

对于SAXSource和StreamSource实例，Spring默认情况下处理外部实体，从而造成了此漏洞。

该问题已通过默认禁用外部实体处理并添加一个选项来解决，以便那些需要在处理来自可信来源的XML时使用此功能的用户可以使用此功能。

受影响的Spring产品和版本

• 3.0.0 到 3.2.3
• 4.0.0.M1
• 较早的不受支持版本也可能受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 3.x版本的使用者应升级到3.2.4或更高版本。
• 4.x版本的使用者应升级到4.0.0.M2或更高版本。

致谢

这些问题是由惠普企业安全团队的Alvaro Munoz发现的。

参考资料

• https://github.com/SpringSource/spring-framework/pull/317

历史记录

2013年8月22日：发布初始漏洞报告。

• 2014年6月19日：更新内容移除了Spring MVC方面的内容，这些内容已拆分为CVE-2013-7315。