Spring 安全公告

所有公告

CVE-2013-6430 使用 Spring MVC 时可能存在的 XSS 漏洞

低危 | 2014年1月14日 | CVE-2013-6430

描述

JavaScriptUtils.javaScriptEscape() 方法没有转义在 JS 单引号字符串、JS 双引号字符串或 HTML 脚本数据上下文中敏感的所有字符。在大多数情况下,这将导致不可利用的解析错误,但在某些情况下可能导致 XSS 漏洞。

受影响的 Spring 产品和版本

  • Spring MVC 3.0.0 至 3.2.1
  • 早期不受支持的版本也可能受到影响

缓解措施

受影响版本的使用者应采取以下缓解措施:

  • 3.x 版本的用户应升级到 3.2.2 或更高版本。

致谢

此问题最初由 Jon Passki 报告给 Spring Framework 开发人员,而 Pivotal 安全团队由 Arun Neelicattu 指出了其安全隐患。

参考资料

历史记录

2014年1月14日:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部