领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2014-1904 在使用 Spring MVC 时存在 XSS 漏洞
描述
当程序员未指定 Spring 表单的操作时,Spring 会自动使用请求的 URI 填充操作字段。攻击者可以利用这一点将恶意内容注入到表单中。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 到 3.2.7
- Spring MVC 4.0.0 到 4.0.1
- 早期不受支持的版本可能也受到影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 的用户应升级到 3.2.8 或更高版本
- 4.x 的用户应升级到 4.0.2 或更高版本
鸣谢
CAaNES LLC 的 Paul Wowk 负责任地发现并向 Pivotal 安全团队报告了此问题。
参考
- https://jira.springsource.org/browse/SPR-11426
- https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
- https://github.com/spring-projects/spring-framework/commit/75e08695a04980dbceae6789364717e9d8764d58#diff-5c29d6685335045274d9908c5cd45e45
历史
2014-Mar-11:发布初始漏洞报告。
- 2014-Aug-19:更正受影响的版本以排除 Spring MVC 3.2.8,并包含对 3.2.x 提交的引用。
报告漏洞
要报告 Spring 产品组合中某个项目的安全漏洞,请参阅安全策略