描述

在處理使用者提供的 XML 文件時，Spring Framework 預設未停用 DTD 宣告中的 URI 引用解析。這使得 XXE 攻擊成為可能。

受影響的 Spring 產品和版本

• Spring MVC 3.0.0 至 3.2.8
• Spring MVC 4.0.0 至 4.0.4
• 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 使用者應升級到 3.2.9 或更高版本
• 4.x 使用者應升級到 4.0.5 或更高版本

致謝

此問題由 Nebula (XIAOBAISHAN,CHIBI,HUBEI.CN) HelloWorld 安全團隊、DBappsecurity.com 安全團隊發現並負責任地報告給了 Pivotal 安全團隊。RedHat 安全團隊的大衛·約姆（David Jorm）提供了展示如何進行完整 XXE 攻擊的額外資訊。

參考資料

• https://jira.spring.io/browse/SPR-11768
• https://github.com/spring-projects/spring-framework/commit/8e096aeef55287dc829484996c9330cf755891a1
• https://github.com/spring-projects/spring-framework/commit/c6503ebbf7c9e21ff022c58706dbac5417b2b5eb

歷史

2014-5-28：首次釋出漏洞報告。

• 2014-9-5：更新以新增完整 XXE 攻擊是可能的，並將嚴重性從“中等”提高到“重要”。