领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2013-6430 在使用 Spring MVC 时可能存在 XSS 漏洞
描述
JavaScriptUtils.javaScriptEscape() 方法未能转义在 JS 单引号字符串、JS 双引号字符串或 HTML 脚本数据上下文中所有敏感字符。在大多数情况下,这会导致一个无法利用的解析错误,但在某些情况下,它可能导致 XSS 漏洞。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 到 3.2.1
- 早期不受支持的版本可能受影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 的用户应升级到 3.2.2 或更高版本
致谢
此问题最初由 Jon Passki 报告给 Spring Framework 开发人员,其安全隐患由 Arun Neelicattu 提请 Pivotal 安全团队注意。
参考资料
- https://jira.springsource.org/browse/SPR-9983
- https://github.com/spring-projects/spring-framework/commit/7a7df6637478607bef0277bf52a4e0a03e20a248
历史
2014 年 1 月 14 日:发布初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略