描述

已发现Spring MVC结合JAXB和StAX XMLInputFactory处理用户提供的XML时，未禁用外部实体解析。在这种情况下，外部实体解析已被禁用。随后发现此修复不完整 (CVE-2013-6429, CVE-2014-0054)。

受影响的Spring产品和版本

• 3.2.0 至 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 较早的无支持版本也可能受到影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 3.x版本的使用者应升级到3.2.4或更高版本。
• 4.x版本的使用者应升级到4.0.0.RC1或更高版本。
• 要完全缓解此问题（包括CVE-2013-6429和CVE-2014-0054），3.x版本的使用者应升级到3.2.8或更高版本，4.x版本的使用者应升级到4.0.2或更高版本。

致谢

这些问题由惠普企业安全团队的Alvaro Munoz发现。

参考资料

• https://jira.springsource.org/browse/SPR-10806

历史记录

2013年8月22日：首次发布CVE-2013-4152下的漏洞报告。

• 2014年6月19日：为CVE-2013-7315创建新的漏洞报告，该报告从原始漏洞中分离出来。添加了关于其他漏洞报告的信息，这些报告指出此修复不完整。