描述

此 CVE 解決了利用與 CVE-2017-4971 中描述的相同漏洞的第二條路徑。

不更改 MvcViewFactoryCreator useSpringBinding 屬性（該屬性預設停用，即設定為 “false”）的應用程式，可能容易受到處理表單提交但未包含子元素來宣告顯式資料繫結屬性對映。

受影響的 Spring 產品和版本

• Spring Web Flow 2.4.0 至 2.4.5
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.4.x 使用者應升級至 2.4.6

請注意，通常情況下，建議始終在檢視狀態中使用顯式資料繫結宣告，以防止表單提交設定目標物件上不應設定的欄位，這是一種良好的實踐。

使用 Spring Web Flow 和 JSF 的使用者不受此報告影響。

致謝

該問題由安全研究員 he1renyagao 發現。

參考資料

• 問題跟蹤器票據 SWF-1711；。
• master 分支（2.4.6 版本）上的提交 df0eab 和 ed5e8c。
• 2.5.x 分支（2.5.RC1 版本）上的提交 084b4e。

歷史

2017-09-15：首次釋出漏洞報告