Spring框架被爆多个安全漏洞

2018-04-05 15:17:20
漏洞曝光时间:2018-04-05漏洞风险程度:高危漏洞曝光程度:已经公开受漏洞影响软件以及版本: Spring Framework 5.0 to 5.0.4Spring Framework 4.3 to 4.3.14Older unsupported versions are also affected缓解或修复方案: 5.0.x users should upgrade to 5.0.54.3
漏洞曝光时间:2018-04-05
漏洞风险程度:高危
漏洞曝光程度:已经公开
受漏洞影响软件以及版本:

Spring Framework 5.0 to 5.0.4
Spring Framework 4.3 to 4.3.14
Older unsupported versions are also affected

缓解或修复方案:
5.0.x users should upgrade to 5.0.5
4.3.x users should upgrade to 4.3.15
漏洞描述:

此次被爆出漏洞列表如下:

(1)spring-messaging RCE (CVE-2018-1270)    https://pivotal.io/security/cve-2018-1270

(2)Directory Traversal with Spring MVC on Windows (CVE-2018-1271)  https://pivotal.io/security/cve-2018-1271

(3)Multipart Content Pollution with Spring Framework (CVE-2018-1272) https://pivotal.io/security/cve-2018-1272


漏洞描述:

CVE-2018-1270:通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,建议尽快更新到新的版本。

CVE-2018-1271:Spring MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历的效果产生,建议尽快更新到新的版本。

CVE-2018-1272:当Spring MVC或Spring WebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染Multipart类型请求,可能对另一台服务器实现权限提升攻击,建议尽快更新到新的版本。

最新资讯