描述

某些URL在使用前未正确清理，允许攻击者获取文件系统上任何对运行Spring Web应用程序的进程也可见的文件。

受影响的Spring产品和版本

• Spring框架3.0.4到3.2.11
• Spring框架4.0.0到4.0.7
• Spring框架4.1.0到4.1.1
• 其他不受支持的版本也可能受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 3.2.x版本的使用者应升级到3.2.12或更高版本。
• 4.0.x版本的使用者应升级到4.0.8或更高版本。
• 4.1.x版本的使用者应升级到4.1.2或更高版本。

致谢

此问题由NTT DATA Corporation的Maki Toshiaki发现，并已负责任地报告给Pivotal。

参考资料

• https://jira.spring.io/browse/SPR-12354
• https://github.com/spring-projects/spring-framework/commit/9beae9ae4226c45cd428035dae81214439324676
• https://github.com/spring-projects/spring-framework/commit/9cef8e3001ddd61c734281a7556efd84b6cc2755
• https://github.com/spring-projects/spring-framework/commit/3f68cd633f03370d33c2603a6496e81273782601

历史

2014年11月11日：发布初始漏洞报告。