描述

Spring Framework 5.0 到 5.0.4、4.3 到 4.3.14 以及更旧的不受支持的版本允许应用程序配置 Spring MVC 以提供静态资源（例如 CSS、JS、图像）。 当静态资源从 Windows 上的文件系统提供时（而不是从类路径或 ServletContext 中提供），恶意用户可以使用专门制作的 URL 发送请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.14
• 更旧的不受支持的版本也受影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.15
• 旧版本应升级到受支持的分支

没有其他必要的缓解步骤。

另请注意，此攻击不适用于以下应用程序

• 不使用 Windows。
• 不从文件系统提供文件，即不使用“file:”作为资源位置。
• 使用已针对 CVE-2018-1199 打补丁的 Spring Security 版本。

鸣谢

此问题由来自 DEVCORE 的 Orange Tsai (@orange_8361) 负责地识别和报告。

参考

• 示例 https://docs.springframework.org.cn/spring/docs/current/spring-framework-reference/web.html#mvc-config-static-resources'>Spring MVC 配置，该配置启用了静态资源的服务。

历史记录

2018-04-05：发布初始漏洞报告

• 2018-04-13：从不受影响的列表中删除“使用 Tomcat 或 WildFly”