描述

Spring Framework 5.0 到 5.0.4、4.3 到 4.3.14 以及較舊的不受支援的版本為多部分請求提供客戶端支援。 當 Spring MVC 或 Spring WebFlux 伺服器應用程式（伺服器 A）接收來自遠端客戶端的輸入，然後使用該輸入向另一個伺服器（伺服器 B）發出多部分請求時，它可能會受到攻擊，其中在來自伺服器 A 的請求內容中插入一個額外的多部分，導致伺服器 B 使用它期望的部件的錯誤值。 例如，如果部件內容代表使用者名稱或使用者角色，這可能導致許可權提升。

為了使攻擊者成功，他們必須能夠猜出伺服器 A 為向伺服器 B 發出的多部分請求選擇的多部分邊界值，這要求攻擊者也必須控制伺服器或能夠透過單獨的攻擊媒介檢視伺服器 A 的 HTTP 日誌。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.14
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.15

沒有其他必要的緩解步驟。

鳴謝

此問題由 GoSecure 的 Philippe Arteau 識別並負責地報告。

歷史

2018-04-05：釋出初始漏洞報告