領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2014-0225 使用Spring MVC時出現XML外部實體 (XXE) 注入漏洞
描述
在處理使用者提供的 XML 文件時,Spring Framework 預設情況下沒有停用 DTD 宣告中 URI 引用的解析。 這導致了 XXE 攻擊。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.8
- Spring MVC 4.0.0 至 4.0.4
- 更早的不受支援的版本可能也會受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 的使用者應升級到 3.2.9 或更高版本
- 4.x 的使用者應升級到 4.0.5 或更高版本
鳴謝
此問題由 Nebula(XIAOBAISHAN,CHIBI,HUBEI.CN) HelloWorld 安全團隊,DBappsecurity.com 安全團隊負責任地發現並報告給了 Pivotal 安全團隊。 RedHat 安全團隊的 David Jorm 提供了更多資訊,演示瞭如何進行完整的 XXE 攻擊。
參考
- https://jira.spring.io/browse/SPR-11768
- https://github.com/spring-projects/spring-framework/commit/8e096aeef55287dc829484996c9330cf755891a1
- https://github.com/spring-projects/spring-framework/commit/c6503ebbf7c9e21ff022c58706dbac5417b2b5eb
歷史
2014-May-28:釋出初始漏洞報告。
- 2014-September-05:更新以新增完整的 XXE 攻擊是可能的,並將嚴重程度從適中提高到重要。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略