描述

Spring OXM 包裝器在使用 JAXB unmarshaller 時，未公開任何用於停用實體解析的屬性。有四種可能的源實現傳遞給 unmarshaller：DOMSource、StAXSource、SAXSource 和 StreamSource。

對於 DOMSource，XML 已經由使用者程式碼解析，該程式碼負責防範 XXE。

對於 StAXSource，XMLStreamReader 已經由使用者程式碼建立，該程式碼負責防範 XXE。

對於 SAXSource 和 StreamSource 例項，Spring 預設處理外部實體，從而產生了此漏洞。

透過預設停用外部實體處理並新增一個選項來啟用它，以供那些在處理來自可信來源的 XML 時需要使用此功能的使用者使用，從而解決了此問題。

受影響的 Spring 產品和版本

• 3.0.0 到 3.2.3
• 4.0.0.M1
• 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 使用者應升級到 3.2.4 或更高版本
• 4.x 的使用者應升級到 4.0.0.M2 或更高版本

致謝

這些問題由惠普企業安全團隊的 Alvaro Munoz 發現。

參考資料

• https://github.com/SpringSource/spring-framework/pull/317

歷史

2013 年 8 月 22 日：釋出初始漏洞報告。

• 2014 年 6 月 19 日：更新以刪除已拆分為 CVE-2013-7315 的 Spring MVC 方面