搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2013-6430 使用 Spring MVC 時可能存在 XSS 漏洞
描述
JavaScriptUtils.javaScriptEscape() 方法沒有轉義 JS 單引號字串、JS 雙引號字串或 HTML 指令碼資料上下文中所有敏感的字元。在大多數情況下,這將導致無法利用的解析錯誤,但在某些情況下,可能會導致 XSS 漏洞。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.1
- 早期不受支援的版本可能受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 的使用者應升級到 3.2.2 或更高版本
致謝
此問題最初由 Jon Passki 報告給 Spring Framework 開發人員,Arun Neelicattu 向 Pivotal 安全團隊提請注意了其安全影響。
參考
- https://jira.springsource.org/browse/SPR-9983
- https://github.com/spring-projects/spring-framework/commit/7a7df6637478607bef0277bf52a4e0a03e20a248
歷史
2014-Jan-14:釋出了初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略