領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2014-1904 在使用 Spring MVC 時存在 XSS 漏洞
描述
當程式設計師未指定 Spring 表單的操作時,Spring 會自動使用請求的 URI 填充操作欄位。攻擊者可以利用這一點將惡意內容注入到表單中。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 到 3.2.7
- Spring MVC 4.0.0 到 4.0.1
- 早期不受支援的版本可能也受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 的使用者應升級到 3.2.8 或更高版本
- 4.x 的使用者應升級到 4.0.2 或更高版本
鳴謝
CAaNES LLC 的 Paul Wowk 負責任地發現並向 Pivotal 安全團隊報告了此問題。
參考
- https://jira.springsource.org/browse/SPR-11426
- https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
- https://github.com/spring-projects/spring-framework/commit/75e08695a04980dbceae6789364717e9d8764d58#diff-5c29d6685335045274d9908c5cd45e45
歷史
2014-Mar-11:釋出初始漏洞報告。
- 2014-Aug-19:更正受影響的版本以排除 Spring MVC 3.2.8,幷包含對 3.2.x 提交的引用。
報告漏洞
要報告 Spring 產品組合中某個專案的安全漏洞,請參閱安全策略