描述

提供给 ResourceServlet 的路径未经妥善净化，因此容易受到目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Framework 4.3.0 至 4.3.4
• Spring Framework 4.2.0 至 4.2.8
• Spring Framework 3.2.0 至 3.2.17
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 4.3.x 用户应升级到 4.3.5
• 4.2.x 用户应升级到 4.2.9
• 3.2.x 用户应升级到 3.2.18

请注意，很少有应用程序会使用 ResourceServlet。自 3.0 版本（约 2009 年）以来，它已被 ResourceHttpRequestHandler 及其相关类所取代，这些类默认使用并提供更高级的功能，请参阅参考文档中的“Serving Resources”。ResourceServlet 在 3.2.x 和 4.x 中已被弃用，并从 5.0 版本开始完全移除。

致谢

该问题由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 发现，并负责任地报告给 Pivotal。

参考资料

• 4.3.x 分支中的提交
• 4.2.x 分支中的提交
• 3.2.s 分支中的提交
• https://jira.spring.io/browse/SPR-14946>

历史

2016-12-21：初始漏洞报告发布