描述

此CVE修复了Spring Framework 4.3.x分支中CVE-2018-1270的部分问题。

Spring Framework 5.0.x版本（早于5.0.5）和4.3.x版本（早于4.3.16），以及其他旧的、不受支持的版本允许应用程序通过spring-messaging模块公开使用简单的内存中STOMP代理的基于WebSocket的STOMP端点。恶意用户（或攻击者）可以向代理发送精心构造的消息，从而导致远程代码执行攻击。

受影响的Spring产品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.16
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

请注意，Spring Security 提供的消息身份验证和授权可将此漏洞的暴露范围限制在授权用户。

致谢

最初的问题CVE-2018-1270由Alvaro Muñoz (@pwntester)，Micro Focus Fortify 识别并负责报告。随后的CVE-2018-1275部分修复由rwx、Christoph Dreis和来自360观星实验室的0c0c0f独立识别并负责报告。

参考资料

• CVE-2018-1270
• 示例STOMP over WebSocket 配置，其中启用了简单代理。
• Spring Security WebSocket 支持文档。

历史记录

2018-04-09：发布初始漏洞报告

• 2018-04-10：更新致谢部分以列出CVE-2018-1275的报告者
• 2018-04-13：更新致谢部分，包含来自360观星实验室的0c0c0f