描述

Spring Framework 5.0到5.0.4版、4.3到4.3.14版以及旧的无支持版本提供对多部分请求的客户端支持。当Spring MVC或Spring WebFlux服务器应用程序（服务器A）接收来自远程客户端的输入，然后使用该输入向另一个服务器（服务器B）发出多部分请求时，它可能会受到攻击，攻击者会在服务器A发出的请求内容中插入额外的多部分内容，导致服务器B使用其期望的部分的错误值。例如，如果部分内容代表用户名或用户角色，这可能导致权限提升。

为了使攻击者成功，他们必须能够猜测服务器A为对服务器B的多部分请求选择的多分隔符边界值，这要求攻击者还必须控制服务器或能够通过单独的攻击媒介查看服务器A的HTTP日志。

受影响的Spring产品和版本

• Spring Framework 5.0到5.0.4
• Spring Framework 4.3到4.3.14
• 旧的无支持版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 5.0.x用户应升级到5.0.5
• 4.3.x用户应升级到4.3.15

无需其他缓解步骤。

致谢

此问题由GoSecure的Philippe Arteau发现并负责任地报告。

历史记录

2018-04-05：发布初始漏洞报告