描述

當使用 JAXB 解組器時，Spring OXM 包裝器沒有公開任何用於停用實體解析的屬性。有四種可能的源實現傳遞給解組器：DOMSource、StAXSource、SAXSource 和 StreamSource。

對於 DOMSource，XML 已經由使用者程式碼解析，並且該程式碼負責防止 XXE。

對於 StAXSource，XMLStreamReader 已經由使用者程式碼建立，並且該程式碼負責防止 XXE。

對於 SAXSource 和 StreamSource 例項，Spring 預設處理外部實體，從而產生此漏洞。

透過預設停用外部實體處理並新增一個選項來解決此問題，以便那些需要在處理來自受信任來源的 XML 時使用此功能的使用者啟用它。

受影響的 Spring 產品和版本

• 3.0.0 到 3.2.3
• 4.0.0.M1
• 更早的不受支援的版本可能會受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 3.x 的使用者應升級到 3.2.4 或更高版本
• 4.x 的使用者應升級到 4.0.0.M2 或更高版本

鳴謝

這些問題由 HP Enterprise Security Team 的 Alvaro Munoz 發現。

參考

• https://github.com/SpringSource/spring-framework/pull/317

歷史

2013-Aug-22：釋出初始漏洞報告。

• 2014-Jun-19：更新以刪除 Spring MVC 方面，這些方面已拆分為 CVE-2013-7315