描述

Spring MVC 的 Jaxb2RootElementHttpMessageConverter 也处理用户提供的 XML，既未禁用 XML 外部实体，也未提供禁用它们的选项。Jaxb2RootElementHttpMessageConverter 已修改为提供一个选项来控制 XML 外部实体的处理，并且现在默认情况下禁用该处理。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 到 3.2.7
• Spring MVC 4.0.0 到 4.0.1
• 早期不受支持的版本也可能受到影响

缓解措施

受影响版本的使用者应采取以下缓解措施

• 3.x 版本的使用者应升级到 3.2.8 或更高版本
• 4.x 版本的使用者应升级到 4.0.2 或更高版本

鸣谢

此问题由 Spase Markovski 报告给 Spring Framework 开发人员。

参考

• https://jira.springsource.org/browse/SPR-11376
• https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
• https://github.com/spring-projects/spring-framework/commit/fb0683c066e74e9667d6cd8c5fa01f674c68c3be#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131

历史

2014年3月11日：发布初始漏洞报告。

• 2014年6月19日：更新以反映 CVE-2013-4152 分裂为 CVE-2013-4152 和 CVE-2013-7315。
• 2014年8月19日：更正受影响的版本以排除 Spring MVC 3.2.8 并包含对 3.2.x 提交的引用。