領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2014-1904 Spring MVC 中的 XSS 漏洞
描述
當程式設計師未在 Spring 表單中指定 action 時,Spring 會自動用請求的 uri 填充 action 欄位。攻擊者可以利用這一點將惡意內容注入表單。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.7
- Spring MVC 4.0.0 至 4.0.1
- 早期不受支援的版本可能受影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 使用者應升級到 3.2.8 或更高版本
- 4.x 使用者應升級到 4.0.2 或更高版本
致謝
此問題由 CAaNES LLC 的 Paul Wowk 發現,並已負責任地報告給 Pivotal 安全團隊。
參考資料
- https://jira.springsource.org/browse/SPR-11426
- https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
- https://github.com/spring-projects/spring-framework/commit/75e08695a04980dbceae6789364717e9d8764d58#diff-5c29d6685335045274d9908c5cd45e45
歷史
2014-03-11:釋出初始漏洞報告。
- 2014-08-19:更正受影響的版本,排除 Spring MVC 3.2.8,幷包含對 3.2.x commit 的引用。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略