描述

已確認 Spring MVC 處理使用者提供的 XML 時，使用 JAXB 結合 StAX XMLInputFactory，但未停用外部實體解析。 外部實體解析在這種情況下已被停用。 隨後發現此修復不完整（CVE-2013-6429、CVE-2014-0054）。

受影響的 Spring 產品和版本

• 3.2.0 到 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 早期不受支援的版本可能受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 3.x 的使用者應升級到 3.2.4 或更高版本
• 4.x 的使用者應升級到 4.0.0.RC1 或更高版本
• 要完全緩解此問題（包括 CVE-2013-6429 和 CVE-2014-0054），3.x 的使用者應升級到 3.2.8 或更高版本，4.x 的使用者應升級到 4.0.2 或更高版本。

致謝

這些問題由 HP Enterprise Security Team 的 Alvaro Munoz 發現。

參考

• https://jira.springsource.org/browse/SPR-10806

歷史

2013 年 8 月 22 日：最初的漏洞報告以 CVE-2013-4152 釋出。

• 2014 年 6 月 19 日：為 CVE-2013-7315 建立了新的漏洞報告，該報告從原始漏洞中分離出來。 添加了有關其他漏洞報告的資訊，這些報告表明此修復不完整。