抢先一步
VMware 提供培训和认证,助您加速发展。
了解更多Spring Security 安全公告
CVE-2014-0225 使用 Spring MVC 时 XML 外部实体 (XXE) 注入漏洞
描述
在处理用户提供的 XML 文档时,Spring Framework 默认情况下未禁用 DTD 声明中 URI 引用解析。这导致了 XXE 攻击的可能性。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.8
- Spring MVC 4.0.0 至 4.0.4
- 更早的未受支持版本也可能受到影响
缓解措施
受影响版本的使用者应采取以下缓解措施:
- 3.x 版本的用户应升级到 3.2.9 或更高版本
- 4.x 版本的用户应升级到 4.0.5 或更高版本
致谢
此问题由 Nebula(XIAOBAISHAN,CHIBI,HUBEI.CN)HelloWorld 安全团队、DBappsecurity.com 安全团队负责任地发现并报告给 Pivotal 安全团队。RedHat 安全团队的 David Jorm 提供了更多信息,证明如何进行完整的 XXE 攻击。
参考
- https://jira.spring.io/browse/SPR-11768
- https://github.com/spring-projects/spring-framework/commit/8e096aeef55287dc829484996c9330cf755891a1
- https://github.com/spring-projects/spring-framework/commit/c6503ebbf7c9e21ff022c58706dbac5417b2b5eb
历史
2014年5月28日:发布初始漏洞报告。
- 2014年9月5日:更新内容,补充说明可能存在完整的 XXE 攻击,并因此将严重性从中等提升到重要。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略