领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2014-0225 使用 Spring MVC 时 XML 外部实体 (XXE) 注入
描述
在处理用户提供的 XML 文档时,Spring Framework 默认未禁用 DTD 声明中的 URI 引用解析。这使得 XXE 攻击成为可能。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.8
- Spring MVC 4.0.0 至 4.0.4
- 早期不受支持的版本可能受影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 用户应升级到 3.2.9 或更高版本
- 4.x 用户应升级到 4.0.5 或更高版本
致谢
此问题由 Nebula (XIAOBAISHAN,CHIBI,HUBEI.CN) HelloWorld 安全团队、DBappsecurity.com 安全团队发现并负责任地报告给了 Pivotal 安全团队。RedHat 安全团队的大卫·约姆(David Jorm)提供了展示如何进行完整 XXE 攻击的额外信息。
参考资料
- https://jira.spring.io/browse/SPR-11768
- https://github.com/spring-projects/spring-framework/commit/8e096aeef55287dc829484996c9330cf755891a1
- https://github.com/spring-projects/spring-framework/commit/c6503ebbf7c9e21ff022c58706dbac5417b2b5eb
历史
2014-5-28:首次发布漏洞报告。
- 2014-9-5:更新以添加完整 XXE 攻击是可能的,并将严重性从“中等”提高到“重要”。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略