描述

如果应用程序不更改默认情况下禁用的MvcViewFactoryCreator useSpringBinding属性的值（即设置为“false”），则可能容易受到处理表单提交但在没有子元素声明显式数据绑定属性映射的视图状态中的恶意EL表达式的攻击。

受影响的Spring产品和版本

• Spring Web Flow 2.4.0 到 2.4.4
• 较旧的不受支持版本也受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施：

• 2.4.x 用户应升级到 2.4.5
• 请注意，通常情况下，在视图状态中始终使用显式数据绑定声明是一个良好的实践，并且建议这样做，以防止表单提交设置目标对象上不应设置的字段。
• 使用 JSF 的 Spring Web Flow 不受此报告的影响。

致谢

该问题由Gotham Digital Science的Stefano Ciccone发现。

参考资料

• https://jira.spring.io/browse/SWF-1700>
• 主分支上的提交57f2cc（2.4.5版本）
• 2.5.x分支上的提交ec3d54（2.5.RC1版本）

历史记录

2017-05-31：发布初始漏洞报告