描述

此 CVE 解決了 Spring Framework 的 4.3.x 分支中 CVE-2018-1270 的部分修復。

Spring Framework 5.0.x 版本低於 5.0.5 以及 4.3.x 版本低於 4.3.16，以及較舊的不受支援的版本允許應用程式透過 spring-messaging 模組公開具有簡單記憶體 STOMP 代理的 STOMP over WebSocket 端點。惡意使用者（或攻擊者）可以精心設計傳送到代理的訊息，從而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.15
• 較舊的不受支援的版本也受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.16
• 較舊的版本應升級到受支援的分支

沒有其他必要的緩解步驟。

請注意，對訊息使用身份驗證和授權（兩者均由 Spring Security 提供）會將此漏洞的暴露限制在授權使用者範圍內。

致謝

此原始問題 CVE-2018-1270 由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 發現並負責任地報告。隨後的 CVE-2018-1275 部分修復由 rwx、Christoph Dreis 和 360 觀星實驗室的 0c0c0f 獨立發現並負責任地報告。

參考文獻

• CVE-2018-1270
• 示例 https://docs.springframework.tw/spring/docs/current/spring-framework-reference/web.html#websocket-stomp-enable'>STOMP over WebSocket 配置，其中啟用了簡單代理。
• https://docs.springframework.tw/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#websocket'>Spring Security WebSocket 支援文件。

歷史

2018-04-09：釋出初始漏洞報告

• 2018-04-10：更新了致謝部分，列出 CVE-2018-1275 的報告者
• 2018-04-13：使用來自 360 觀星實驗室的 0c0c0f 更新了致謝部分