描述

Spring 框架（5.0.x 版本低于 5.0.7，4.3.x 版本低于 4.3.18，以及更早的已不支持版本）允许 Web 应用程序使用 Spring MVC 中的 HiddenHttpMethodFilter 将 HTTP 请求方法更改为任何 HTTP 方法（包括 TRACE）。如果应用程序存在已知的 XSS 漏洞，恶意用户（或攻击者）可以利用此过滤器升级为 XST（跨站追踪）攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.6
• Spring Framework 4.3 至 4.3.17
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级至 5.0.7
• 4.3.x 用户应升级至 4.3.18
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

此攻击适用于以下应用程序：

• 使用 HiddenHttpMethodFilter（在 Spring Boot 中默认启用）
• 允许应用程序服务器处理 HTTP TRACE 请求

此攻击不能直接利用，因为攻击者需要通过 HTTP POST 进行跨域请求，而同源策略禁止此行为。因此，Web 应用程序本身必须存在已知的 XSS（跨站脚本）漏洞才能实现升级到 XST。

致谢

此问题由 Mariusz Łuciów，Ocado Technology 发现并报告。

历史

2018-06-14：发布初始漏洞报告。