描述

Spring Integration (spring-integration-xml 和 spring-integration-ws 模組), 4.3.18, 5.0.10, 5.1.1 版本，以及更舊的不受支援的版本，容易受到 XML 外部實體注入 (XXE) 的攻擊，當接收來自不受信任來源的 XML 資料時。

受影響的 Spring 產品和版本

• Spring Integration 版本 5.1.1、5.0.10、4.3.18 以及更舊的版本

緩解措施

受影響版本的使用者應應用以下緩解措施

• 將 spring-integration-ws, spring-integration-xml 升級到 4.3.19, 5.0.11, 5.1.2 或更高版本。
• Spring Integration 元件現在預設停用參考備忘單 [1] 中建議的功能（這些元件表現出此漏洞），但如果 XML 是從受信任的來源接收的，則允許使用者配置以啟用該功能。

參考

• https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

歷史

2019-01-14: 釋出了初始漏洞報告。