描述

Spring Framework 5.0.x版本（低于5.0.5）和4.3.x版本（低于4.3.16），以及其他旧的、不受支持的版本允许应用程序通过spring-messaging模块公开使用简单内存中STOMP代理的基于WebSocket的STOMP端点。恶意用户（或攻击者）可以向代理发送特制消息，从而导致远程代码执行攻击。

受影响的Spring产品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 5.0.x用户应升级到5.0.5
• 4.3.x用户应升级到4.3.16
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

请注意，Spring Security提供的消息身份验证和授权可将此漏洞的暴露范围限制在授权用户。

致谢

此问题由Alvaro Muñoz (@pwntester)，Micro Focus Fortify 发现并负责任地报告。

参考资料

• 示例STOMP over WebSocket配置，其中启用了简单代理。
• Spring Security WebSocket支持文档。

历史记录

2018-04-05：发布初始漏洞报告

• 2018-04-10：由于CVE-2018-1275，将升级版本4.3.15替换为4.3.16