领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2014-1904 Spring MVC 中的 XSS 漏洞
描述
当程序员未在 Spring 表单中指定 action 时,Spring 会自动用请求的 uri 填充 action 字段。攻击者可以利用这一点将恶意内容注入表单。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.7
- Spring MVC 4.0.0 至 4.0.1
- 早期不受支持的版本可能受影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 用户应升级到 3.2.8 或更高版本
- 4.x 用户应升级到 4.0.2 或更高版本
致谢
此问题由 CAaNES LLC 的 Paul Wowk 发现,并已负责任地报告给 Pivotal 安全团队。
参考资料
- https://jira.springsource.org/browse/SPR-11426
- https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
- https://github.com/spring-projects/spring-framework/commit/75e08695a04980dbceae6789364717e9d8764d58#diff-5c29d6685335045274d9908c5cd45e45
历史
2014-03-11:发布初始漏洞报告。
- 2014-08-19:更正受影响的版本,排除 Spring MVC 3.2.8,并包含对 3.2.x commit 的引用。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略