领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2014-3625 Spring Framework 中的目录遍历漏洞
描述
一些 URL 在使用前未被正确清理,这使得攻击者能够获取在 Spring Web 应用程序运行的进程可访问的任意文件。
受影响的 Spring 产品和版本
- Spring Framework 3.0.4 至 3.2.11
- Spring Framework 4.0.0 至 4.0.7
- Spring Framework 4.1.0 至 4.1.1
- 其他不受支持的版本也可能受到影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.2.x 用户应升级到 3.2.12 或更高版本
- 4.0.x 用户应升级到 4.0.8 或更高版本
- 4.1.x 用户应升级到 4.1.2 或更高版本
致谢
此问题由 NTT DATA Corporation 的 Toshiaki Maki 发现,并已负责任地报告给 Pivotal。
参考资料
- https://jira.spring.io/browse/SPR-12354
- https://github.com/spring-projects/spring-framework/commit/9beae9ae4226c45cd428035dae81214439324676
- https://github.com/spring-projects/spring-framework/commit/9cef8e3001ddd61c734281a7556efd84b6cc2755
- https://github.com/spring-projects/spring-framework/commit/3f68cd633f03370d33c2603a6496e81273782601
历史
2014-11-11:首次发布漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略