領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2014-3578 Spring Framework 目錄遍歷漏洞
描述
部分 URL 在使用前未正確進行清理,允許攻擊者獲取檔案系統上任何可由執行 Spring Web 應用程式的程序訪問的檔案。
受影響的 Spring 產品和版本
- 4.0.0 到 4.0.4
- 3.2.0 至 3.2.8
- 已知 3.1.1 版本受此漏洞影響
- 其他不受支援的版本也可能受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 使用者應升級到 3.2.9 或更高版本
- 4.x 使用者應升級到 4.0.5 或更高版本
致謝
此問題由 Mitsui Bussan Secure Directions, Inc. 的 Takeshi Terada 發現,並經 JPCERT/CC 報告給 Pivotal。RedHat 安全團隊的 Arun Babu Neelicattu 發現了其他受影響的版本資訊。
參考資料
歷史
2014-Sep-05: 釋出最初的漏洞報告。
- 2014-Nov-26: 更新受影響版本,添加了其他版本。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略