描述

未更改 MvcViewFactoryCreator useSpringBinding 属性值（默认禁用，即设置为“false”）的应用程序，可能容易受到视图状态中的恶意 EL 表达式的攻击，这些视图状态处理表单提交但没有子元素来声明显式的数据绑定属性映射。

受影响的 Spring 产品和版本

• Spring Web Flow 2.4.0 到 2.4.4
• 较旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 2.4.x 用户应升级到 2.4.5
• 请注意，一般来说，最佳实践和建议是在视图状态中始终使用显式数据绑定声明，以防止表单提交设置目标对象上不应设置的字段。
• 使用 JSF 的 Spring Web Flow 用户不受此报告的影响。

鸣谢

该问题由 Gotham Digital Science 的 Stefano Ciccone 发现

参考

• https://jira.spring.io/browse/SWF-1700'>https://jira.spring.io/browse/SWF-1700</a>
• https://github.com/spring-projects/spring-webflow/commit/57f2ccb66946943fbf3b3f2165eac1c8eb6b1523'>Commit 57f2cc 在 master 分支上（2.4.5 发布）
• https://github.com/spring-projects/spring-webflow/commit/ec3d54d2305e6b6bce12f770fec67fe63008d45b'>Commit ec3d54 在 2.5.x 分支上（2.5.RC1 发布）

历史

2017-05-31：首次发布漏洞报告