描述

Spring Framework 5.0至5.0.4、4.3至4.3.14及更早的未支持版本允许应用程序配置Spring MVC来提供静态资源（例如CSS、JS、图片）。当静态资源从Windows文件系统（而不是类路径或ServletContext）提供时，恶意用户可以通过发送一个精心构造的URL请求来执行目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.14
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.15
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

另请注意，此攻击不适用于以下情况的应用程序：

• 未使用Windows。
• 不从文件系统提供文件，即资源位置未使用“file:”。
• 使用已针对CVE-2018-1199进行补丁的Spring Security版本。

致谢

此问题由DEVCORE的Orange Tsai（@orange_8361）发现并负责任地报告。

参考资料

• 启用静态资源提供的示例 MVC配置。

历史

2018-04-05: 初步漏洞报告发布

• 2018-04-13：从不受影响的列表中移除了“使用Tomcat或WildFly”。