描述

已确认 Spring MVC 处理用户提供的 XML 时，使用 JAXB 结合 StAX XMLInputFactory，但未禁用外部实体解析。 外部实体解析在这种情况下已被禁用。 随后发现此修复不完整（CVE-2013-6429、CVE-2014-0054）。

受影响的 Spring 产品和版本

• 3.2.0 到 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 早期不受支持的版本可能受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 3.x 的用户应升级到 3.2.4 或更高版本
• 4.x 的用户应升级到 4.0.0.RC1 或更高版本
• 要完全缓解此问题（包括 CVE-2013-6429 和 CVE-2014-0054），3.x 的用户应升级到 3.2.8 或更高版本，4.x 的用户应升级到 4.0.2 或更高版本。

致谢

这些问题由 HP Enterprise Security Team 的 Alvaro Munoz 发现。

参考

• https://jira.springsource.org/browse/SPR-10806

历史

2013 年 8 月 22 日：最初的漏洞报告以 CVE-2013-4152 发布。

• 2014 年 6 月 19 日：为 CVE-2013-7315 创建了新的漏洞报告，该报告从原始漏洞中分离出来。 添加了有关其他漏洞报告的信息，这些报告表明此修复不完整。