描述

Spring Framework 5.0 至 5.0.4 版、4.3 至 4.3.14 版以及更旧的无支持版本允许应用程序配置 Spring MVC 来提供静态资源（例如 CSS、JS、图像）。当静态资源从 Windows 文件系统（而不是类路径或 ServletContext）提供服务时，恶意用户可以使用特制的 URL 发送请求，从而导致目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.14
• 较旧的无支持版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.15
• 较旧版本应升级到受支持的分支

无需其他缓解步骤。

另请注意，此攻击不适用于以下应用：

• 不使用 Windows 系统。
• 不从文件系统提供服务，即不使用“file:”作为资源位置。
• 使用针对 CVE-2018-1199 修补的 Spring Security 版本。

致谢

此问题由 DEVCORE 的 Orange Tsai (@orange_8361) 发现并负责任地报告。

参考资料

• 示例 Spring MVC 配置，启用静态资源的服务。

历史记录

2018-04-05：发布初始漏洞报告

• 2018-04-13：从不受影响列表中删除“使用 Tomcat 或 WildFly”。