描述

Spring Framework 5.0.x版本（早于5.0.6）和4.3.x版本（早于4.3.17），以及旧的、不受支持的版本允许应用程序通过spring-messaging模块公开使用简单内存中STOMP代理的WebSocket端点上的STOMP。恶意用户（或攻击者）可以向代理发送一条消息，从而导致正则表达式拒绝服务攻击。

此漏洞会影响满足以下所有要求的应用程序：

• 依赖于spring-messaging和spring-websocket模块。
• 注册WebSocket端点上的STOMP。
• 启用简单的STOMP代理。

受影响的Spring产品和版本

• Spring Framework 5.0 至 5.0.5
• Spring Framework 4.3 至 4.3.16
• 旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 5.0.x用户应升级到5.0.6。
• 4.3.x用户应升级到4.3.17。
• 旧版本应升级到受支持的分支。

无需其他缓解步骤。

请注意，对消息使用身份验证和授权（Spring Security都提供这些功能）可将此漏洞的暴露范围限制为授权用户。

致谢

此问题由Recruit Technologies Co., Ltd.的Muneaki Nishimura (nishimunea)发现并负责报告。

参考资料

• 示例STOMP over WebSocket 配置，其中启用了简单代理。
• Spring Security WebSocket 支持文档。

历史记录

2018-05-09：发布初始漏洞报告