领先一步
VMware 提供培训和认证,助您快速提升。
了解更多Spring 安全公告
CVE-2014-1904 使用 Spring MVC 时存在的 XSS 漏洞
描述
当程序员没有在 Spring 表单中指定 action 时,Spring 会自动使用请求的 uri 填充 action 字段。攻击者可以利用此特性将恶意内容注入表单。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.7
- Spring MVC 4.0.0 至 4.0.1
- 早期不受支持的版本也可能受到影响
缓解措施
受影响版本的使用者应采取以下缓解措施
- 3.x 版本的使用者应升级到 3.2.8 或更高版本
- 4.x 版本的使用者应升级到 4.0.2 或更高版本
致谢
此问题由 CAaNES LLC 的 Paul Wowk 发现并负责任地报告给 Pivotal 安全团队。
参考
- https://jira.springsource.org/browse/SPR-11426
- https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
- https://github.com/spring-projects/spring-framework/commit/75e08695a04980dbceae6789364717e9d8764d58#diff-5c29d6685335045274d9908c5cd45e45
历史
2014年3月11日:发布初始漏洞报告。
- 2014年8月19日:更正受影响的版本,排除 Spring MVC 3.2.8 并添加对 3.2.x 提交的引用。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略