描述

此 CVE 解决了利用与 CVE-2017-4971 中描述的相同漏洞的第二条路径。

不更改 MvcViewFactoryCreator useSpringBinding 属性（该属性默认禁用，即设置为 “false”）的应用程序，可能容易受到处理表单提交但未包含子元素来声明显式数据绑定属性映射。

受影响的 Spring 产品和版本

• Spring Web Flow 2.4.0 至 2.4.5
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.4.x 用户应升级至 2.4.6

请注意，通常情况下，建议始终在视图状态中使用显式数据绑定声明，以防止表单提交设置目标对象上不应设置的字段，这是一种良好的实践。

使用 Spring Web Flow 和 JSF 的用户不受此报告影响。

致谢

该问题由安全研究员 he1renyagao 发现。

参考资料

• 问题跟踪器票据 SWF-1711；。
• master 分支（2.4.6 版本）上的提交 df0eab 和 ed5e8c。
• 2.5.x 分支（2.5.RC1 版本）上的提交 084b4e。

历史

2017-09-15：首次发布漏洞报告