描述

Spring Framework（5.0.x 版本低于 5.0.7，4.3.x 版本低于 4.3.18 以及更旧的不受支持版本）允许 Web 应用程序使用 Spring MVC 中的 HiddenHttpMethodFilter 将 HTTP 请求方法更改为任何 HTTP 方法（包括 TRACE）。如果应用程序存在预先存在的 XSS 漏洞，恶意用户（或攻击者）可以使用此过滤器升级为 XST（跨站点跟踪）攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.6
• Spring Framework 4.3 到 4.3.17
• 旧的不受支持版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.7
• 4.3.x 用户应升级到 4.3.18
• 旧版本应升级到受支持的分支

不需要其他缓解步骤。

此攻击适用于以下应用程序

• 使用 HiddenHttpMethodFilter（默认在 Spring Boot 中启用）
• 允许应用程序服务器处理 HTTP TRACE 请求

此攻击无法直接利用，因为攻击者必须通过 HTTP POST 发出跨域请求，这被同源策略禁止。 这就是为什么 Web 应用程序本身中需要预先存在的 XSS（跨站点脚本）漏洞才能升级到 XST。

鸣谢

此问题由 Mariusz Łuciów，Ocado Technology 发现并报告。

历史

2018-06-14：发布了初始漏洞报告。