描述

Spring Data Commons（1.13 至 1.13.11 版本和 2.0 至 2.0.6 版本）与 XMLBeam 1.4.14 或更早版本组合使用时，存在属性绑定漏洞。该漏洞源于 XMLBeam 底层库未限制 XML 外部实体引用的解析。未经身份验证的远程恶意用户可以通过 Spring Data 的基于投影的请求载荷绑定，提交精心构造的请求参数，从而访问系统上的任意文件。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 至 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 至 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 至 2.0.6 (Kay SR6)
• Spring Data REST 3.0 至 3.0.6 (Kay SR6)

缓解措施

受影响版本的用户应采取以下缓解措施

• 1.13.x 用户应升级到 1.13.12 (Ingalls SR12)
• 2.0.x 用户应升级到 2.0.7 (Kay SR7)
• 或者，升级到 XMLBeam 1.4.15

已修复此问题的发布版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

无需其他缓解步骤。

请注意，该漏洞仅在使用 XMLBeam 时才可被利用。通过 Spring Security 提供的身份验证和授权机制来保护端点，可以将此漏洞的暴露范围限制在授权用户之内。

致谢

该问题由 Abago Forgans 发现并负责任地报告。

参考资料

• https://jira.spring.io/browse/DATACMNS-1292>
• Spring Data Commons: Web databinding support

历史

2018-05-09：初始漏洞报告发布