領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2013-6430 在使用 Spring MVC 時可能存在 XSS 漏洞
描述
JavaScriptUtils.javaScriptEscape() 方法未能轉義在 JS 單引號字串、JS 雙引號字串或 HTML 指令碼資料上下文中所有敏感字元。在大多數情況下,這會導致一個無法利用的解析錯誤,但在某些情況下,它可能導致 XSS 漏洞。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 到 3.2.1
- 早期不受支援的版本可能受影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 的使用者應升級到 3.2.2 或更高版本
致謝
此問題最初由 Jon Passki 報告給 Spring Framework 開發人員,其安全隱患由 Arun Neelicattu 提請 Pivotal 安全團隊注意。
參考資料
- https://jira.springsource.org/browse/SPR-9983
- https://github.com/spring-projects/spring-framework/commit/7a7df6637478607bef0277bf52a4e0a03e20a248
歷史
2014 年 1 月 14 日:釋出初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略