描述

Spring Data Commons 1.13 至 1.13.11 以及 2.0 至 2.0.6 版本與 XMLBeam 1.4.14 或更早版本結合使用時，由於底層庫 XMLBeam 未限制外部引用擴充套件，因此存在由 XML 外部實體引用不當限制而導致的屬性繫結漏洞。未經身份驗證的遠端惡意使用者可以提供特製的請求引數，針對 Spring Data 基於投影的請求有效負載繫結，以訪問系統上的任意檔案。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 至 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 至 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 至 2.0.6 (Kay SR6)
• Spring Data REST 3.0 至 3.0.6 (Kay SR6)

緩解措施

受影響版本的使用者應應用以下緩解措施

• 1.13.x 使用者應升級到 1.13.12 (Ingalls SR12)
• 2.0.x 使用者應升級到 2.0.7 (Kay SR7)
• 或者，升級到 XMLBeam 1.4.15

已修復此問題的版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

沒有其他必要的緩解步驟。

請注意，只有在使用 XMLBeam 時，該漏洞才可被利用。 透過 Spring Security 提供的端點身份驗證和授權，將此漏洞的暴露限制為已授權使用者。

鳴謝

Abago Forgans 識別並負責任地報告了此問題。

參考

• https://jira.spring.io/browse/DATACMNS-1292'>https://jira.spring.io/browse/DATACMNS-1292</a>
• https://docs.springframework.tw/spring-data/commons/docs/current/reference/html/#core.web.binding'>Spring Data Commons：Web 資料繫結支援

歷史

2018-05-09：釋出初始漏洞報告