描述

在使用前，某些URL未正确清理，允许攻击者获取运行Spring Web应用程序的进程也可访问的文件系统上的任何文件。

受影响的Spring产品和版本

• 4.0.0 到 4.0.4
• 3.2.0 到 3.2.8
• 已知3.1.1受影响
• 其他不受支持的版本也可能受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 3.x版本的使用者应升级到3.2.9或更高版本。
• 4.x版本的使用者应升级到4.0.5或更高版本。

致谢

此问题由三井物产安全方向株式会社的寺田武史发现，并通过JPCERT/CC报告给Pivotal。RedHat安全团队的Arun Babu Neelicattu发现了更多受影响的版本的信息。

参考资料

• https://jvn.jp/en/jp/JVN49154900/

历史

2014年9月5日：发布初始漏洞报告。

• 2014年11月26日：更新受影响的版本以添加其他版本。