描述

发现 Spring MVC 使用 JAXB 结合 StAX XMLInputFactory 处理用户提供的 XML，但未禁用外部实体解析。在这种情况下，外部实体解析已被禁用。随后发现此修复不完整（CVE-2013-6429、CVE-2014-0054）。

受影响的 Spring 产品和版本

• 3.2.0 到 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.x 用户应升级到 3.2.4 或更高版本
• 4.x 用户应升级到 4.0.0.RC1 或更高版本
• 为完全缓解此问题（包括 CVE-2013-6429 和 CVE-2014-0054），3.x 用户应升级到 3.2.8 或更高版本，4.x 用户应升级到 4.0.2 或更高版本。

致谢

这些问题由惠普企业安全团队的 Alvaro Munoz 发现。

参考资料

• https://jira.springsource.org/browse/SPR-10806

历史

2013 年 8 月 22 日：最初的漏洞报告以 CVE-2013-4152 发布。

• 2014 年 6 月 19 日：创建了 CVE-2013-7315 的新漏洞报告，该报告从原始漏洞中分离出来。添加了关于识别此修复不完整的其他漏洞报告的信息。