描述

此 CVE 解决了与 CVE-2017-4971 中描述的漏洞相同的第二个利用途径。

如果应用程序不更改默认情况下禁用的 `MvcViewFactoryCreator useSpringBinding` 属性的值（即设置为 `"false"`），则在处理表单提交但不具有子元素来声明显式数据绑定属性映射的视图状态中，可能会受到恶意 EL 表达式的攻击。

受影响的 Spring 产品和版本

• Spring Web Flow 2.4.0 至 2.4.5
• 较旧的不受支持版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施：

• 2.4.x 用户应升级到 2.4.6

请注意，通常情况下，在视图状态中始终使用显式数据绑定声明是一个良好的实践，建议这样做，以防止表单提交设置目标对象上不应设置的字段。

使用 Spring Web Flow 和 JSF 的用户不受此报告的影响。

致谢

此问题由安全研究员 he1renyagao 发现。

参考资料

• 问题跟踪票证 SWF-1711。
• 提交 df0eab 和 ed5e8c 在主分支（2.4.6 版本）。
• 提交 084b4e 在 2.5.x 分支（2.5.RC1 版本）。

历史记录

2017-09-15：发布初始漏洞报告