描述

Spring Integration（spring-integration-xml和spring-integration-ws模块），版本4.3.18、5.0.10、5.1.1和更旧的无支持版本，在从不受信任的来源接收XML数据时容易受到XML外部实体注入（XXE）的攻击。

受影响的Spring产品和版本

• Spring Integration 版本 5.1.1、5.0.10、4.3.18 及更旧版本

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 将spring-integration-ws和spring-integration-xml升级到4.3.19、5.0.11、5.1.2或更高版本。
• 表现出此漏洞的Spring Integration组件现在默认情况下会禁用参考速查表[1]中建议的功能，但如果可以启用该功能（因为从受信任的来源接收XML），则允许用户配置组件。

参考文献

• https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

历史记录

2019-01-14：发布初始漏洞报告。