描述

未更改 MvcViewFactoryCreator useSpringBinding 属性（该属性默认禁用，即设置为“false”）的应用程序，在处理表单提交但没有子元素来声明显式数据绑定属性映射。

受影响的 Spring 产品和版本

• Spring Web Flow 2.4.0 至 2.4.4
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.4.x 用户应升级到 2.4.5
• 请注意，通常情况下，建议始终在视图状态中使用显式数据绑定声明，以防止表单提交设置目标对象上不应设置的字段，这是一种良好的实践。
• 使用 JSF 的 Spring Web Flow 用户不受此报告的影响。

致谢

该问题由 Gotham Digital Science 的 Stefano Ciccone 发现

参考资料

• https://jira.spring.io/browse/SWF-1700>
• Commit 57f2cc on master branch (2.4.5 release)
• Commit ec3d54 on 2.5.x branch (2.5.RC1 release)

历史

2017-05-31: 发布初始漏洞报告