描述

Spring MVC 的 SourceHttpMessageConverter 也處理使用者提供的 XML，既沒有停用 XML 外部實體，也沒有提供停用它們的選項。SourceHttpMessageConverter 已被修改，以提供一個選項來控制 XML 外部實體的處理，並且該處理現在預設停用。隨後發現此修復也不完整 (CVE-2014-0054)。

受影響的 Spring 產品和版本

• Spring MVC 3.0.0 至 3.2.4
• Spring MVC 4.0.0.M1-4.0.0.RC1
• 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 使用者應升級到 3.2.5 或更高版本
• 4.x 使用者應升級到 4.0.0 或更高版本（此問題在 4.0.0-RC2 中也已修復，但建議使用者使用 4.0.0 或更高版本）
• 要完全緩解此問題（包括 CVE-2014-0054），3.x 使用者應升級到 3.2.8 或更高版本，4.x 使用者應升級到 4.0.2 或更高版本。

致謝

此問題由 Spring 開發團隊識別。

參考資料

• https://jira.springsource.org/browse/SPR-11078

歷史

2014 年 1 月 15 日：初始漏洞報告。

• 2014 年 6 月 19 日：更新以反映 CVE-2013-4152 分割為 CVE-2013-4152 和 CVE-2013-7315。添加了關於額外漏洞報告的資訊，該報告指出此修復不完整。