描述

JavaScriptUtils.javaScriptEscape() 方法未能轉義 JS 單引號字串、JS 雙引號字串或 HTML 指令碼資料上下文中所有敏感字元。在大多數情況下，這會導致無法利用的解析錯誤，但在某些情況下，可能導致 XSS 漏洞。

受影響的 Spring 產品和版本

• Spring MVC 3.0.0 至 3.2.1
• 更早的不受支援版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 版本的使用者應升級到 3.2.2 或更高版本

致謝

此問題最初由 Jon Passki 報告給 Spring Framework 開發人員，其安全影響由 Arun Neelicattu 提請 Pivotal 安全團隊注意。

…

描述

已發現 Spring MVC 在使用 JAXB 結合 StAX XMLInputFactory 處理使用者提供的 XML 時，未停用外部實體解析。在這種情況下，外部實體解析已被停用。隨後發現此修復不完整（涉及 CVE-2013-6429、CVE-2014-0054）。

受影響的 Spring 產品和版本

• 3.2.0 至 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 更早的不受支援版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 版本的使用者應升級到 3.2.4 或更高版本
• 4.x 版本的使用者應升級到 4.0.0.RC1 或更高版本
• 為完全緩解此問題（包括 CVE-2013-6429 和 CVE-2014-0054），3.x 版本的使用者應升級到 3.2.8 或更高版本，4.x 版本的使用者應升級到 4.0.2 或更高版本。

致謝

這些問題由 HP 企業安全團隊的 Alvaro Munoz 發現。

參考

• https://jira.springsource.org/browse/SPR-10806

歷史

2013 年 8 月 22 日：最初漏洞…

描述

Spring OXM 包裝器在使用 JAXB unmarshaller 時，未提供任何用於停用實體解析的屬性。可以傳遞給 unmarshaller 的源實現有四種：DOMSource、StAXSource、SAXSource 和 StreamSource。

對於 DOMSource，XML 已由使用者程式碼解析，並且該程式碼負責防範 XXE。

對於 StAXSource，XMLStreamReader 已由使用者程式碼建立，並且該程式碼負責防範 XXE。

對於 SAXSource 和 StreamSource 例項，Spring 預設處理外部實體，從而產生此漏洞。

透過預設停用外部實體處理並新增一個選項，允許需要在使用受信任來源的 XML 時使用此功能的使用者啟用它，從而解決了此問題。

受影響的 Spring 產品和版本

• 3.0.0 至 3.2.3
• 4.0.0.M1
• 更早的不受支援版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 版本的使用者應升級到 3.2.4 或更高版本
• 4.x 版本的使用者應升級到 4.0.0.M2 或更高版本

致謝

這些問題由 HP 企業安全團隊的 Alvaro Munoz 發現。

參考

• https://github.com/SpringSource/spring-framework/pull/317

歷史

2013 年 8 月 22 日：最初…