Spring 安全公告

RSS feed

CVE-2014-3625 Spring Framework 中的目录遍历漏洞

MEDIUM | 2014 年 11 月 11 日 | CVE-2014-3625

描述

某些 URL 在使用前未被正确清理,允许攻击者获取文件系统中 Spring Web 应用程序进程可以访问的任何文件。

受影响的 Spring 产品和版本

  • Spring Framework 3.0.4 到 3.2.11
  • Spring Framework 4.0.0 到 4.0.7
  • Spring Framework 4.1.0 到 4.1.1
  • 其他不受支持的版本也可能受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

  • 3.2.x 的用户应升级到 3.2.12 或更高版本
  • 4.0.x 的用户应升级到 4.0.8 或更高版本
  • 4.1.x 的用户应升级到 4.1.2 或更高版本

鸣谢

此问题由 NTT DATA Corporation 的 Toshiaki Maki 发现并负责任地报告给了 Pivotal。

参考

历史

2014 年 11 月 11 日:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进度。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部