描述

當使用 JAXB 解編器時，Spring OXM 包裝程式沒有公開任何屬性來停用實體解析。有四種可能的來源實作傳遞到解編器：DOMSource、StAXSource、SAXSource 和 StreamSource。

對於 DOMSource，XML 已由使用者程式碼解析，且該程式碼負責防範 XXE。

對於 StAXSource，XMLStreamReader 已經由使用者程式碼建立，且該程式碼負責防範 XXE。

對於 SAXSource 和 StreamSource 實例，Spring 預設處理外部實體，從而產生此漏洞。

此問題已通過預設停用外部實體處理來解決，並添加了一個選項，供需要從受信任來源處理 XML 時使用此功能的那些使用者啟用它。

受影響的 Spring 產品和版本

• 3.0.0 到 3.2.3
• 4.0.0.M1
• 可能影響較早的不支援版本

緩解措施

受影響版本的使用者應套用以下緩解措施

• 3.x 版的使用者應升級至 3.2.4 或更新版本
• 4.x 版的使用者應升級至 4.0.0.M2 或更新版本

鳴謝

這些問題由 HP Enterprise Security Team 的 Alvaro Munoz 發現。

參考資料

• https://github.com/SpringSource/spring-framework/pull/317

歷史記錄

2013-Aug-22：發布初始漏洞報告。

• 2014-Jun-19：已更新以移除 Spring MVC 方面，這些方面已拆分為 CVE-2013-7315