描述

此 CVE 针对 Spring Framework 4.3.x 分支中 CVE-2018-1270 的部分修复。

Spring Framework 5.0.x 版本（5.0.5 之前）和 4.3.x 版本（4.3.16 之前），以及其他不受支持的旧版本，允许应用程序通过 spring-messaging 模块，使用简单的内存 STOMP 代理公开 STOMP over WebSocket 端点。恶意用户（或攻击者）可以构造一条发送给代理的消息，从而导致远程代码执行攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.16
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

请注意，使用 Spring Security 提供的消息认证和授权功能，可将此漏洞的暴露限制在授权用户范围内。

致谢

最初的问题 CVE-2018-1270 由 Alvaro Muñoz (@pwntester) 和 Micro Focus Fortify 发现并负责任地报告。后续的 CVE-2018-1275 部分修复由 rwx、Christoph Dreis 和来自 360 观星实验室的 0c0c0f 独立发现并负责任地报告。

参考资料

• CVE-2018-1270
• 示例 STOMP over WebSocket 配置，其中启用了简单的消息代理。
• Spring Security WebSocket 支持文档。

历史

2018-04-09：发布了初步的漏洞报告

• 2018-04-10：更新了致谢部分，列出了 CVE-2018-1275 的报告者
• 2018-04-13：更新了致谢部分，加入了来自 360 观星实验室的 0c0c0f