描述

Spring Integration (spring-integration-xml 和 spring-integration-ws 模块), 4.3.18, 5.0.10, 5.1.1 版本，以及更旧的不受支持的版本，容易受到 XML 外部实体注入 (XXE) 的攻击，当接收来自不受信任来源的 XML 数据时。

受影响的 Spring 产品和版本

• Spring Integration 版本 5.1.1、5.0.10、4.3.18 以及更旧的版本

缓解措施

受影响版本的用户应应用以下缓解措施

• 将 spring-integration-ws, spring-integration-xml 升级到 4.3.19, 5.0.11, 5.1.2 或更高版本。
• Spring Integration 组件现在默认禁用参考备忘单 [1] 中建议的功能（这些组件表现出此漏洞），但如果 XML 是从受信任的来源接收的，则允许用户配置以启用该功能。

参考

• https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

历史

2019-01-14: 发布了初始漏洞报告。