領先一步
VMware 提供培訓和認證,以加速您的進度。
了解更多Spring Security 安全性公告
CVE-2013-6430 使用 Spring MVC 時可能發生的 XSS 漏洞
描述
JavaScriptUtils.javaScriptEscape() 方法並未逸出在 JS 單引號字串、JS 雙引號字串或 HTML script data 內容中敏感的所有字元。在大多數情況下,這會導致無法利用的解析錯誤,但在某些情況下,可能會導致 XSS 漏洞。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.1
- 早期不受支援的版本可能會受到影響
緩解措施
受影響版本的用戶應採取以下緩解措施
- 3.x 的用戶應升級到 3.2.2 或更高版本
致謝
此問題最初由 Jon Passki 向 Spring Framework 開發人員報告,Arun Neelicattu 提請 Pivotal 安全團隊注意其安全隱患。
參考資料
- https://jira.springsource.org/browse/SPR-9983
- https://github.com/spring-projects/spring-framework/commit/7a7df6637478607bef0277bf52a4e0a03e20a248
歷史紀錄
2014-Jan-14:發布了最初的漏洞報告。
報告漏洞
若要報告 Spring 產品組合中的專案安全性漏洞,請參閱安全性政策