描述

Spring Framework 5.0至5.0.4、4.3至4.3.14及更早的未支援版本允許應用程式配置Spring MVC來提供靜態資源（例如CSS、JS、圖片）。當靜態資源從Windows檔案系統（而不是類路徑或ServletContext）提供時，惡意使用者可以透過傳送一個精心構造的URL請求來執行目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.14
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.15
• 舊版本應升級到受支援的分支

無需其他緩解步驟。

另請注意，此攻擊不適用於以下情況的應用程式：

• 未使用Windows。
• 不從檔案系統提供檔案，即資源位置未使用“file:”。
• 使用已針對CVE-2018-1199進行補丁的Spring Security版本。

致謝

此問題由DEVCORE的Orange Tsai（@orange_8361）發現並負責任地報告。

參考資料

• 啟用靜態資源提供的示例 MVC配置。

歷史

2018-04-05: 初步漏洞報告發布

• 2018-04-13：從不受影響的列表中移除了“使用Tomcat或WildFly”。