描述

JavaScriptUtils.javaScriptEscape() 方法未能转义 JS 单引号字符串、JS 双引号字符串或 HTML 脚本数据上下文中所有敏感字符。在大多数情况下，这会导致无法利用的解析错误，但在某些情况下，可能导致 XSS 漏洞。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.1
• 更早的不受支持版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 版本的用户应升级到 3.2.2 或更高版本

致谢

此问题最初由 Jon Passki 报告给 Spring Framework 开发人员，其安全影响由 Arun Neelicattu 提请 Pivotal 安全团队注意。

…

描述

已发现 Spring MVC 在使用 JAXB 结合 StAX XMLInputFactory 处理用户提供的 XML 时，未禁用外部实体解析。在这种情况下，外部实体解析已被禁用。随后发现此修复不完整（涉及 CVE-2013-6429、CVE-2014-0054）。

受影响的 Spring 产品和版本

• 3.2.0 至 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 更早的不受支持版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 版本的用户应升级到 3.2.4 或更高版本
• 4.x 版本的用户应升级到 4.0.0.RC1 或更高版本
• 为完全缓解此问题（包括 CVE-2013-6429 和 CVE-2014-0054），3.x 版本的用户应升级到 3.2.8 或更高版本，4.x 版本的用户应升级到 4.0.2 或更高版本。

致谢

这些问题由 HP 企业安全团队的 Alvaro Munoz 发现。

参考

• https://jira.springsource.org/browse/SPR-10806

历史

2013 年 8 月 22 日：最初漏洞…

描述

Spring OXM 包装器在使用 JAXB unmarshaller 时，未提供任何用于禁用实体解析的属性。可以传递给 unmarshaller 的源实现有四种：DOMSource、StAXSource、SAXSource 和 StreamSource。

对于 DOMSource，XML 已由用户代码解析，并且该代码负责防范 XXE。

对于 StAXSource，XMLStreamReader 已由用户代码创建，并且该代码负责防范 XXE。

对于 SAXSource 和 StreamSource 实例，Spring 默认处理外部实体，从而产生此漏洞。

通过默认禁用外部实体处理并添加一个选项，允许需要在使用受信任来源的 XML 时使用此功能的用户启用它，从而解决了此问题。

受影响的 Spring 产品和版本

• 3.0.0 至 3.2.3
• 4.0.0.M1
• 更早的不受支持版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 版本的用户应升级到 3.2.4 或更高版本
• 4.x 版本的用户应升级到 4.0.0.M2 或更高版本

致谢

这些问题由 HP 企业安全团队的 Alvaro Munoz 发现。

参考

• https://github.com/SpringSource/spring-framework/pull/317

历史

2013 年 8 月 22 日：最初…