描述

Spring MVC 的 SourceHttpMessageConverter 也处理用户提供的 XML，既没有禁用 XML 外部实体，也没有提供禁用它们的选项。SourceHttpMessageConverter 已被修改，以提供一个选项来控制 XML 外部实体的处理，并且该处理现在默认禁用。随后发现此修复也不完整 (CVE-2014-0054)。

受影响的 Spring 产品和版本

• Spring MVC 3.0.0 至 3.2.4
• Spring MVC 4.0.0.M1-4.0.0.RC1
• 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 用户应升级到 3.2.5 或更高版本
• 4.x 用户应升级到 4.0.0 或更高版本（此问题在 4.0.0-RC2 中也已修复，但建议用户使用 4.0.0 或更高版本）
• 要完全缓解此问题（包括 CVE-2014-0054），3.x 用户应升级到 3.2.8 或更高版本，4.x 用户应升级到 4.0.2 或更高版本。

致谢

此问题由 Spring 开发团队识别。

参考资料

• https://jira.springsource.org/browse/SPR-11078

历史

2014 年 1 月 15 日：初始漏洞报告。

• 2014 年 6 月 19 日：更新以反映 CVE-2013-4152 分割为 CVE-2013-4152 和 CVE-2013-7315。添加了关于额外漏洞报告的信息，该报告指出此修复不完整。