描述

此 CVE 解決了利用與 CVE-2017-4971 中描述的漏洞相同的漏洞的第二條途徑。

未更改 MvcViewFactoryCreator useSpringBinding 屬性值的應用程式（預設情況下停用該屬性，即設定為 “false”）可能容易受到檢視狀態中惡意 EL 表示式的攻擊，這些檢視狀態處理表單提交，但沒有宣告顯式資料繫結屬性對映的 <binding> 子元素。

受影響的 Spring 產品和版本

• Spring Web Flow 2.4.0 到 2.4.5
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 2.4.x 使用者應升級到 2.4.6

請注意，一般來說，最好始終在檢視狀態中使用顯式資料繫結宣告，以防止表單提交在不應設定的目標物件上設定欄位，這是一種推薦做法。

使用 JSF 的 Spring Web Flow 使用者不受此報告的影響。

致謝

該問題由安全研究員 he1renyagao 發現。

參考

• 問題跟蹤單 https://jira.spring.io/browse/SWF-1711'>SWF-1711</a>;.
• 提交 https://github.com/spring-projects/spring-webflow/commit/df0eab'>df0eab</a> 和 https://github.com/spring-projects/spring-webflow/commit/ed5e8c'>ed5e8c</a> 在 master 分支上（2.4.6 版本）。
• 提交 https://github.com/spring-projects/spring-webflow/commit/084b4e'>084b4e</a> 在 2.5.x 分支上（2.5.RC1 版本）。

歷史

2017-09-15：釋出初始漏洞報告