描述

Spring Framework，5.0.x 版本低於 5.0.5 和 4.3.x 版本低於 4.3.16，以及較舊的不受支援的版本允許應用程式透過 spring-messaging 模組使用簡單的記憶體 STOMP 代理公開基於 WebSocket 端點的 STOMP。惡意使用者（或攻擊者）可以構造一條傳送給代理的訊息，從而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.15
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.16
• 舊版本應升級到受支援的分支

無需其他緩解步驟。

請注意，對訊息使用身份驗證和授權（Spring Security 均提供），會將此漏洞的暴露範圍限制為授權使用者。

致謝

此問題由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 發現並負責任地報告。

參考

• 示例 STOMP 透過啟用簡單代理的 WebSocket 配置。
• Spring Security WebSocket 支援文件。

歷史

2018-04-05：釋出初始漏洞報告

• 2018-04-10：由於 CVE-2018-1275，將升級版本 4.3.15 替換為 4.3.16