描述

提供给ResourceServlet的路径未正确清理，因此容易受到目录遍历攻击。

受影响的Spring产品和版本

• Spring Framework 4.3.0 至 4.3.4
• Spring Framework 4.2.0 至 4.2.8
• Spring Framework 3.2.0 至 3.2.17
• 较旧的不受支持版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 4.3.x用户应升级到4.3.5
• 4.2.x用户应升级到4.2.9
• 3.2.x用户应升级到3.2.18

请注意，很少有应用程序可能使用ResourceServlet。自3.0版本（约2009年）以来，它已被ResourceHttpRequestHandler和相关类（默认情况下已使用）所取代，这些类提供了更高级的功能，请参阅参考文档中的“提供资源”。ResourceServlet在3.2.x和4.x中已弃用，从5版开始完全删除。

致谢

该问题由NTT DATA Corporation的Shumpei Asahara和Yuji Ito发现，并负责任地报告给Pivotal。

参考

• https://github.com/spring-projects/spring-framework/commit/e2d6e709c3c65a4951eb096843ee75d5200cfcad'>提交 在4.3.x分支
• https://github.com/spring-projects/spring-framework/commit/43bf008fbcd0d7945e2fcd5e30039bc4d74c7a98'>提交 在4.2.x分支
• https://github.com/spring-projects/spring-framework/commit/a7dc48534ea501525f11369d369178a60c2f47d0'>提交 在3.2.s分支
• https://jira.spring.io/browse/SPR-14946'>https://jira.spring.io/browse/SPR-14946</a>

历史

2016-12-21：发布初始漏洞报告