描述

Spring Data Commons（1.13 至 1.13.11 版本和 2.0 至 2.0.6 版本）與 XMLBeam 1.4.14 或更早版本組合使用時，存在屬性繫結漏洞。該漏洞源於 XMLBeam 底層庫未限制 XML 外部實體引用的解析。未經身份驗證的遠端惡意使用者可以透過 Spring Data 的基於投影的請求載荷繫結，提交精心構造的請求引數，從而訪問系統上的任意檔案。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 至 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 至 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 至 2.0.6 (Kay SR6)
• Spring Data REST 3.0 至 3.0.6 (Kay SR6)

緩解措施

受影響版本的使用者應採取以下緩解措施

• 1.13.x 使用者應升級到 1.13.12 (Ingalls SR12)
• 2.0.x 使用者應升級到 2.0.7 (Kay SR7)
• 或者，升級到 XMLBeam 1.4.15

已修復此問題的釋出版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

無需其他緩解步驟。

請注意，該漏洞僅在使用 XMLBeam 時才可被利用。透過 Spring Security 提供的身份驗證和授權機制來保護端點，可以將此漏洞的暴露範圍限制在授權使用者之內。

致謝

該問題由 Abago Forgans 發現並負責任地報告。

參考資料

• https://jira.spring.io/browse/DATACMNS-1292>
• Spring Data Commons: Web databinding support

歷史

2018-05-09：初始漏洞報告發布