描述

Spring Framework 的 5.2.x 版本（低於 5.2.3）容易受到 CSRF 攻擊，攻擊透過針對 Spring MVC (spring-webmvc 模組) 或 Spring WebFlux (spring-webflux 模組) 端點的 CORS 預檢請求發起。

只有未經身份驗證的端點容易受到攻擊，因為預檢請求不應包含憑據，因此請求應驗證失敗。 但是，一個值得注意的例外是使用客戶端證書進行身份驗證的基於 Chrome 的瀏覽器，因為 Chrome 在 CORS 預檢請求中傳送 TLS 客戶端證書，這違反了規範要求。

由於此攻擊，無法傳送或接收 HTTP 主體。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.2.0 至 5.2.2

緩解措施

受影響版本的使用者應應用以下緩解措施。 5.2.x 使用者應升級到 5.2.3。 沒有其他必要的緩解措施。 使用 Spring Security 啟用基於 URL 的安全性和 CORS 支援可防止暴露於此漏洞。 已修復此問題的版本包括

• Spring Framework
  • 5.2.3

鳴謝

此問題由 Google 的 Eric Zimanyi 發現並負責任地報告。

參考

• https://www.w3.org/TR/cors/
• https://bugs.chromium.org/p/chromium/issues/detail?id=775438

歷史

• 2020-01-16：釋出初始漏洞報告。