描述

Spring Web Services 2.4.3、3.0.4 以及所有三個專案的較舊的不受支援的版本，在接收來自不受信任來源的 XML 資料時容易受到 XML 外部實體注入 (XXE) 的攻擊。

受影響的 Spring 產品和版本

• Spring Web Services 版本 2.4.3、3.0.4 及更早版本

緩解措施

受影響版本的使用者應採取以下緩解措施

• 將 spring-ws、spring-xml jar 升級到 2.4.4、3.0.6 或更高版本
• Spring Web Services 元件現在預設停用參考備忘單 [1] 中建議的功能，但如果可以啟用該功能，因為 XML 是從受信任的來源接收的，則允許使用者配置元件。

參考

• https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

歷史記錄

2019-01-14：釋出初始漏洞報告。