描述

此 CVE 解决了利用与 CVE-2017-4971 中描述的漏洞相同的漏洞的第二条途径。

未更改 MvcViewFactoryCreator useSpringBinding 属性值的应用程序（默认情况下禁用该属性，即设置为 “false”）可能容易受到视图状态中恶意 EL 表达式的攻击，这些视图状态处理表单提交，但没有声明显式数据绑定属性映射的 <binding> 子元素。

受影响的 Spring 产品和版本

• Spring Web Flow 2.4.0 到 2.4.5
• 较旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 2.4.x 用户应升级到 2.4.6

请注意，一般来说，最好始终在视图状态中使用显式数据绑定声明，以防止表单提交在不应设置的目标对象上设置字段，这是一种推荐做法。

使用 JSF 的 Spring Web Flow 用户不受此报告的影响。

致谢

该问题由安全研究员 he1renyagao 发现。

参考

• 问题跟踪单 https://jira.spring.io/browse/SWF-1711'>SWF-1711</a>;.
• 提交 https://github.com/spring-projects/spring-webflow/commit/df0eab'>df0eab</a> 和 https://github.com/spring-projects/spring-webflow/commit/ed5e8c'>ed5e8c</a> 在 master 分支上（2.4.6 版本）。
• 提交 https://github.com/spring-projects/spring-webflow/commit/084b4e'>084b4e</a> 在 2.5.x 分支上（2.5.RC1 版本）。

历史

2017-09-15：发布初始漏洞报告