描述

未更改 MvcViewFactoryCreator useSpringBinding 屬性（該屬性預設停用，即設定為“false”）的應用程式，在處理表單提交但沒有子元素來宣告顯式資料繫結屬性對映。

受影響的 Spring 產品和版本

• Spring Web Flow 2.4.0 至 2.4.4
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.4.x 使用者應升級到 2.4.5
• 請注意，通常情況下，建議始終在檢視狀態中使用顯式資料繫結宣告，以防止表單提交設定目標物件上不應設定的欄位，這是一種良好的實踐。
• 使用 JSF 的 Spring Web Flow 使用者不受此報告的影響。

致謝

該問題由 Gotham Digital Science 的 Stefano Ciccone 發現

參考資料

• https://jira.spring.io/browse/SWF-1700>
• Commit 57f2cc on master branch (2.4.5 release)
• Commit ec3d54 on 2.5.x branch (2.5.RC1 release)

歷史

2017-05-31: 釋出初始漏洞報告