描述

ActiveDirectoryLdapAuthenticator 不会检查密码长度。如果目录允许匿名绑定，则它可能会错误地验证提供空密码的用户。

受影响的 Spring 产品和版本

• Spring Security 3.2.0 至 3.2.1
• Spring Security 3.1.0 至 3.1.5

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.2.x 版本的使用者应升级到 3.2.2 或更高版本
• 3.1.x 版本的使用者应升级到 3.1.6 或更高版本

鸣谢

此问题由 Spring 开发团队发现。

参考

• https://jira.springsource.org/browse/SEC-2500
• https://github.com/spring-projects/spring-security/commit/88559882e967085c47a7e1dcbc4dc32c2c796868
• https://github.com/spring-projects/spring-security/commit/7dbb8e777ece8675f3333a1ef1cb4d6b9be80395
• …

描述

当程序员未在 Spring 表单上指定操作时，Spring 会自动使用请求的 uri 填充操作字段。攻击者可以使用此功能将恶意内容注入表单。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.7
• Spring MVC 4.0.0 至 4.0.1
• 较早的未受支持版本也可能受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.x 版本的使用者应升级到 3.2.8 或更高版本
• 4.x 版本的使用者应升级到 4.0.2 或更高版本

鸣谢

此问题由 CAaNES LLC 的 Paul Wowk 发现并负责任地报告给 Pivotal 安全团队。

参考

• https://jira.springsource.org/browse/SPR-11426
• https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
• https://github.com/spring-projects/spring-framework/commit…

描述

Spring MVC 的 SourceHttpMessageConverter 也处理用户提供的 XML，既未禁用 XML 外部实体，也未提供禁用它们的选项。SourceHttpMessageConverter 已修改为提供一个选项来控制 XML 外部实体的处理，并且现在默认情况下禁用了该处理。随后发现此修复也不完整 (CVE-2014-0054)。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.4
• Spring MVC 4.0.0.M1-4.0.0.RC1
• 较早的未受支持版本也可能受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.x 版本的使用者应升级到 3.2.5 或更高版本
• 4.x 版本的使用者应升级到 4.0.0 或更高版本（此问题在 4.0.0-RC2 中也已修复，但建议使用者使用 4.0.0 或更高版本）
• 为了完全缓解此问题（包括 CVE-2014-0054），3.x 版本的使用者应升级到 3.2.8 或更高版本，4.x 版本的使用者应升级到 4.0.2 或更高版本。

鸣谢

此问题由 Spring 开发团队发现。

参考

• https://jira.springsource.org/browse/SPR-11078

历史记录

2014 年 1 月 15 日：初始漏洞报告。

• 2014 年 6 月 19 日：更新以反映 CVE-2013-4152 分裂为 CVE-2013-4152 和 CVE-2013-7315。添加了关于识别此修复不完整性的其他漏洞报告的信息。
…

描述

JavaScriptUtils.javaScriptEscape() 方法未转义在 JS 单引号字符串、JS 双引号字符串或 HTML 脚本数据上下文中敏感的所有字符。在大多数情况下，这将导致不可利用的解析错误，但在某些情况下，它可能导致 XSS 漏洞。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.1
• 较早的未受支持版本也可能受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.x 版本的使用者应升级到 3.2.2 或更高版本

鸣谢

此问题最初由 Jon Passki 报告给 Spring Framework 开发人员，Pivotal 安全团队由 Arun Neelicattu 注意到安全隐患。

…

描述

Spring OXM 包装器在使用 JAXB 反序列化器时未公开任何用于禁用实体解析的属性。有四个可能的源实现传递给反序列化器：DOMSource、StAXSource、SAXSource 和 StreamSource。

对于 DOMSource，XML 已由用户代码解析，并且该代码负责防止 XXE。

对于 StAXSource，XMLStreamReader 已由用户代码创建，并且该代码负责防止 XXE。

对于 SAXSource 和 StreamSource 实例，Spring 默认情况下处理外部实体，从而导致此漏洞。

通过默认禁用外部实体处理并添加一个选项来启用它，为那些需要在处理来自受信任源的 XML 时使用此功能的用户解决了此问题。

受影响的 Spring 产品和版本

• 3.0.0 至 3.2.3
• 4.0.0.M1
• 较早的未受支持版本也可能受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.x 版本的使用者应升级到 3.2.4 或更高版本
• 4.x 版本的使用者应升级到 4.0.0.M2 或更高版本

鸣谢

这些问题由 HP Enterprise Security Team 的 Alvaro Munoz 发现。

参考

• https://github.com/SpringSource/spring-framework/pull/317

历史记录

2013 年 8 月 22 日：初始…

描述

已确定 Spring MVC 使用 JAXB 与 StAX XMLInputFactory 结合处理用户提供的 XML，而未禁用外部实体解析。在这种情况下，已禁用外部实体解析。随后发现此修复不完整 (CVE-2013-6429、CVE-2014-0054)。

受影响的 Spring 产品和版本

• 3.2.0 至 3.2.3
• 4.0.0.M1-4.0.0.M2（Spring MVC）
• 较早的未受支持版本也可能受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 3.x 版本的使用者应升级到 3.2.4 或更高版本
• 4.x 版本的使用者应升级到 4.0.0.RC1 或更高版本
• 为了完全缓解此问题（包括 CVE-2013-6429 和 CVE-2014-0054），3.x 版本的使用者应升级到 3.2.8 或更高版本，4.x 版本的使用者应升级到 4.0.2 或更高版本。

鸣谢

这些问题由 HP Enterprise Security Team 的 Alvaro Munoz 发现。

参考

• https://jira.springsource.org/browse/SPR-10806

历史记录

2013 年 8 月 22 日：初始漏洞…