抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2013-6430 使用 Spring MVC 时可能存在 XSS 漏洞
描述
JavaScriptUtils.javaScriptEscape() 方法没有转义 JS 单引号字符串、JS 双引号字符串或 HTML 脚本数据上下文中所有敏感的字符。在大多数情况下,这将导致无法利用的解析错误,但在某些情况下,可能会导致 XSS 漏洞。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.1
- 早期不受支持的版本可能受到影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 的用户应升级到 3.2.2 或更高版本
致谢
此问题最初由 Jon Passki 报告给 Spring Framework 开发人员,Arun Neelicattu 向 Pivotal 安全团队提请注意了其安全影响。
参考
- https://jira.springsource.org/browse/SPR-9983
- https://github.com/spring-projects/spring-framework/commit/7a7df6637478607bef0277bf52a4e0a03e20a248
历史
2014-Jan-14:发布了初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略