领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2014-0225 使用Spring MVC时出现XML外部实体 (XXE) 注入漏洞
描述
在处理用户提供的 XML 文档时,Spring Framework 默认情况下没有禁用 DTD 声明中 URI 引用的解析。 这导致了 XXE 攻击。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.8
- Spring MVC 4.0.0 至 4.0.4
- 更早的不受支持的版本可能也会受到影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 的用户应升级到 3.2.9 或更高版本
- 4.x 的用户应升级到 4.0.5 或更高版本
鸣谢
此问题由 Nebula(XIAOBAISHAN,CHIBI,HUBEI.CN) HelloWorld 安全团队,DBappsecurity.com 安全团队负责任地发现并报告给了 Pivotal 安全团队。 RedHat 安全团队的 David Jorm 提供了更多信息,演示了如何进行完整的 XXE 攻击。
参考
- https://jira.spring.io/browse/SPR-11768
- https://github.com/spring-projects/spring-framework/commit/8e096aeef55287dc829484996c9330cf755891a1
- https://github.com/spring-projects/spring-framework/commit/c6503ebbf7c9e21ff022c58706dbac5417b2b5eb
历史
2014-May-28:发布初始漏洞报告。
- 2014-September-05:更新以添加完整的 XXE 攻击是可能的,并将严重程度从适中提高到重要。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略