描述

此 CVE 針對 Spring Framework 4.3.x 分支中 CVE-2018-1270 的部分修復。

Spring Framework 5.0.x 版本（5.0.5 之前）和 4.3.x 版本（4.3.16 之前），以及其他不受支援的舊版本，允許應用程式透過 spring-messaging 模組，使用簡單的記憶體 STOMP 代理公開 STOMP over WebSocket 端點。惡意使用者（或攻擊者）可以構造一條傳送給代理的訊息，從而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.16
• 舊版本應升級到受支援的分支

無需其他緩解步驟。

請注意，使用 Spring Security 提供的訊息認證和授權功能，可將此漏洞的暴露限制在授權使用者範圍內。

致謝

最初的問題 CVE-2018-1270 由 Alvaro Muñoz (@pwntester) 和 Micro Focus Fortify 發現並負責任地報告。後續的 CVE-2018-1275 部分修復由 rwx、Christoph Dreis 和來自 360 觀星實驗室的 0c0c0f 獨立發現並負責任地報告。

參考資料

• CVE-2018-1270
• 示例 STOMP over WebSocket 配置，其中啟用了簡單的訊息代理。
• Spring Security WebSocket 支援文件。

歷史

2018-04-09：釋出了初步的漏洞報告

• 2018-04-10：更新了致謝部分，列出了 CVE-2018-1275 的報告者
• 2018-04-13：更新了致謝部分，加入了來自 360 觀星實驗室的 0c0c0f