描述

Spring MVC的SourceHttpMessageConverter也处理用户提供的XML，既没有禁用XML外部实体，也没有提供禁用它们的选项。SourceHttpMessageConverter已修改为提供控制XML外部实体处理的选项，并且现在默认情况下禁用该处理。随后发现此修复也不完整（CVE-2014-0054）。

受影响的Spring产品和版本

• Spring MVC 3.0.0 到 3.2.4
• Spring MVC 4.0.0.M1-4.0.0.RC1
• 早期不受支持的版本也可能受到影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 3.x 版本的用户应升级到 3.2.5 或更高版本。
• 4.x 版本的用户应升级到 4.0.0 或更高版本（此问题在 4.0.0-RC2 中也已修复，但建议用户使用 4.0.0 或更高版本）。
• 为了完全缓解此问题（包括 CVE-2014-0054），3.x 版本的用户应升级到 3.2.8 或更高版本，4.x 版本的用户应升级到 4.0.2 或更高版本。

致谢

此问题由Spring开发团队发现。

参考资料

• https://jira.springsource.org/browse/SPR-11078

历史记录

2014年1月15日：初步漏洞报告。

• 2014年6月19日：更新以反映CVE-2013-4152被拆分为CVE-2013-4152和CVE-2013-7315。增加了关于其他漏洞报告的信息，该报告指出此修复不完整。