描述

Spring Framework 5.0 到 5.0.4、4.3 到 4.3.14 以及更舊的不受支援的版本允許應用程式配置 Spring MVC 以提供靜態資源（例如 CSS、JS、影像）。 當靜態資源從 Windows 上的檔案系統提供時（而不是從類路徑或 ServletContext 中提供），惡意使用者可以使用專門製作的 URL 傳送請求，從而導致目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.14
• 更舊的不受支援的版本也受影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.15
• 舊版本應升級到受支援的分支

沒有其他必要的緩解步驟。

另請注意，此攻擊不適用於以下應用程式

• 不使用 Windows。
• 不從檔案系統提供檔案，即不使用“file:”作為資源位置。
• 使用已針對 CVE-2018-1199 打補丁的 Spring Security 版本。

鳴謝

此問題由來自 DEVCORE 的 Orange Tsai (@orange_8361) 負責地識別和報告。

參考

• 示例 https://docs.springframework.tw/spring/docs/current/spring-framework-reference/web.html#mvc-config-static-resources'>Spring MVC 配置，該配置啟用了靜態資源的服務。

歷史記錄

2018-04-05：釋出初始漏洞報告

• 2018-04-13：從不受影響的列表中刪除“使用 Tomcat 或 WildFly”