描述

此 CVE 解决了 Spring Framework 的 4.3.x 分支中 CVE-2018-1270 的部分修复。

Spring Framework 5.0.x 版本低于 5.0.5 以及 4.3.x 版本低于 4.3.16，以及较旧的不受支持的版本允许应用程序通过 spring-messaging 模块公开具有简单内存 STOMP 代理的 STOMP over WebSocket 端点。恶意用户（或攻击者）可以精心设计发送到代理的消息，从而导致远程代码执行攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.15
• 较旧的不受支持的版本也受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.16
• 较旧的版本应升级到受支持的分支

没有其他必要的缓解步骤。

请注意，对消息使用身份验证和授权（两者均由 Spring Security 提供）会将此漏洞的暴露限制在授权用户范围内。

致谢

此原始问题 CVE-2018-1270 由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 发现并负责任地报告。随后的 CVE-2018-1275 部分修复由 rwx、Christoph Dreis 和 360 观星实验室的 0c0c0f 独立发现并负责任地报告。

参考文献

• CVE-2018-1270
• 示例 https://docs.springframework.org.cn/spring/docs/current/spring-framework-reference/web.html#websocket-stomp-enable'>STOMP over WebSocket 配置，其中启用了简单代理。
• https://docs.springframework.org.cn/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#websocket'>Spring Security WebSocket 支持文档。

历史

2018-04-09：发布初始漏洞报告

• 2018-04-10：更新了致谢部分，列出 CVE-2018-1275 的报告者
• 2018-04-13：使用来自 360 观星实验室的 0c0c0f 更新了致谢部分