描述

Spring MVC 的 Jaxb2RootElementHttpMessageConverter 還處理使用者提供的 XML，既沒有停用 XML 外部實體，也沒有提供停用它們的選項。Jaxb2RootElementHttpMessageConverter 已進行了修改，提供了一個選項來控制 XML 外部實體的處理，並且該處理現在預設停用。

受影響的 Spring 產品和版本

• Spring MVC 3.0.0 至 3.2.7
• Spring MVC 4.0.0 至 4.0.1
• 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 使用者應升級到 3.2.8 或更高版本
• 4.x 使用者應升級到 4.0.2 或更高版本

致謝

此問題由 Spase Markovski 向 Spring Framework 開發人員報告。

參考資料

• https://jira.springsource.org/browse/SPR-11376
• https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
• https://github.com/spring-projects/spring-framework/commit/fb0683c066e74e9667d6cd8c5fa01f674c68c3be#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131

歷史

2014-03-11：首次釋出漏洞報告。

• 2014-06-19：更新以反映 CVE-2013-4152 分割為 CVE-2013-4152 和 CVE-2013-7315。
• 2014-08-19：更正受影響的版本，排除 Spring MVC 3.2.8 幷包含對 3.2.x 提交的引用。