领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2019-3773: XML 外部实体注入 (XXE)
描述
Spring Web Services 的 2.4.3、3.0.4 版本以及所有三个项目旧的、不受支持的版本,在接收来自不可信来源的 XML 数据时,易受到 XML 外部实体注入 (XXE) 的攻击。
受影响的 Spring 产品和版本
- Spring Web Services 版本 2.4.3、3.0.4 及更早版本
缓解措施
受影响版本的用户应采取以下缓解措施
- 将 spring-ws、spring-xml jars 升级到 2.4.4、3.0.6 或更高版本
- 根据参考备忘单 [1] 的建议,存在此漏洞的 Spring Web Services 组件现在默认禁用相关功能,但允许用户在 XML 来自可信来源时配置组件以启用该功能。
参考资料
历史
2019-01-14:发布初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略