描述

Spring Framework 5.0 到 5.0.4、4.3 到 4.3.14 以及较旧的不受支持的版本为多部分请求提供客户端支持。 当 Spring MVC 或 Spring WebFlux 服务器应用程序（服务器 A）接收来自远程客户端的输入，然后使用该输入向另一个服务器（服务器 B）发出多部分请求时，它可能会受到攻击，其中在来自服务器 A 的请求内容中插入一个额外的多部分，导致服务器 B 使用它期望的部件的错误值。 例如，如果部件内容代表用户名或用户角色，这可能导致权限提升。

为了使攻击者成功，他们必须能够猜出服务器 A 为向服务器 B 发出的多部分请求选择的多部分边界值，这要求攻击者也必须控制服务器或能够通过单独的攻击媒介查看服务器 A 的 HTTP 日志。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.14
• 较旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.15

没有其他必要的缓解步骤。

鸣谢

此问题由 GoSecure 的 Philippe Arteau 识别并负责地报告。

历史

2018-04-05：发布初始漏洞报告