領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2019-3773: XML 外部實體注入 (XXE)
描述
Spring Web Services 的 2.4.3、3.0.4 版本以及所有三個專案舊的、不受支援的版本,在接收來自不可信來源的 XML 資料時,易受到 XML 外部實體注入 (XXE) 的攻擊。
受影響的 Spring 產品和版本
- Spring Web Services 版本 2.4.3、3.0.4 及更早版本
緩解措施
受影響版本的使用者應採取以下緩解措施
- 將 spring-ws、spring-xml jars 升級到 2.4.4、3.0.6 或更高版本
- 根據參考備忘單 [1] 的建議,存在此漏洞的 Spring Web Services 元件現在預設停用相關功能,但允許使用者在 XML 來自可信來源時配置元件以啟用該功能。
參考資料
歷史
2019-01-14:釋出初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略