描述

Spring Data Commons 1.13 至 1.13.11 以及 2.0 至 2.0.6 版本与 XMLBeam 1.4.14 或更早版本结合使用时，由于底层库 XMLBeam 未限制外部引用扩展，因此存在由 XML 外部实体引用不当限制而导致的属性绑定漏洞。未经身份验证的远程恶意用户可以提供特制的请求参数，针对 Spring Data 基于投影的请求有效负载绑定，以访问系统上的任意文件。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 至 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 至 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 至 2.0.6 (Kay SR6)
• Spring Data REST 3.0 至 3.0.6 (Kay SR6)

缓解措施

受影响版本的用户应应用以下缓解措施

• 1.13.x 用户应升级到 1.13.12 (Ingalls SR12)
• 2.0.x 用户应升级到 2.0.7 (Kay SR7)
• 或者，升级到 XMLBeam 1.4.15

已修复此问题的版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

没有其他必要的缓解步骤。

请注意，只有在使用 XMLBeam 时，该漏洞才可被利用。 通过 Spring Security 提供的端点身份验证和授权，将此漏洞的暴露限制为已授权用户。

鸣谢

Abago Forgans 识别并负责任地报告了此问题。

参考

• https://jira.spring.io/browse/DATACMNS-1292'>https://jira.spring.io/browse/DATACMNS-1292</a>
• https://docs.springframework.org.cn/spring-data/commons/docs/current/reference/html/#core.web.binding'>Spring Data Commons：Web 数据绑定支持

历史

2018-05-09：发布初始漏洞报告