领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2014-3578 Spring Framework 目录遍历漏洞
描述
部分 URL 在使用前未正确进行清理,允许攻击者获取文件系统上任何可由运行 Spring Web 应用程序的进程访问的文件。
受影响的 Spring 产品和版本
- 4.0.0 到 4.0.4
- 3.2.0 至 3.2.8
- 已知 3.1.1 版本受此漏洞影响
- 其他不受支持的版本也可能受到影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 用户应升级到 3.2.9 或更高版本
- 4.x 用户应升级到 4.0.5 或更高版本
致谢
此问题由 Mitsui Bussan Secure Directions, Inc. 的 Takeshi Terada 发现,并经 JPCERT/CC 报告给 Pivotal。RedHat 安全团队的 Arun Babu Neelicattu 发现了其他受影响的版本信息。
参考资料
历史
2014-Sep-05: 发布最初的漏洞报告。
- 2014-Nov-26: 更新受影响版本,添加了其他版本。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略