描述

未更改 MvcViewFactoryCreator useSpringBinding 屬性值（預設停用，即設定為“false”）的應用程式，可能容易受到檢視狀態中的惡意 EL 表示式的攻擊，這些檢視狀態處理表單提交但沒有子元素來宣告顯式的資料繫結屬性對映。

受影響的 Spring 產品和版本

• Spring Web Flow 2.4.0 到 2.4.4
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 2.4.x 使用者應升級到 2.4.5
• 請注意，一般來說，最佳實踐和建議是在檢視狀態中始終使用顯式資料繫結宣告，以防止表單提交設定目標物件上不應設定的欄位。
• 使用 JSF 的 Spring Web Flow 使用者不受此報告的影響。

鳴謝

該問題由 Gotham Digital Science 的 Stefano Ciccone 發現

參考

• https://jira.spring.io/browse/SWF-1700'>https://jira.spring.io/browse/SWF-1700</a>
• https://github.com/spring-projects/spring-webflow/commit/57f2ccb66946943fbf3b3f2165eac1c8eb6b1523'>Commit 57f2cc 在 master 分支上（2.4.5 釋出）
• https://github.com/spring-projects/spring-webflow/commit/ec3d54d2305e6b6bce12f770fec67fe63008d45b'>Commit ec3d54 在 2.5.x 分支上（2.5.RC1 釋出）

歷史

2017-05-31：首次釋出漏洞報告