描述

已確認 Spring MVC 使用 JAXB 處理使用者提供的 XML，並結合 StAX XMLInputFactory，但未停用外部實體解析。 在此情況下，外部實體解析已停用。 隨後發現此修復並不完整 (CVE-2013-6429、CVE-2014-0054)。

受影響的 Spring 產品和版本

• 3.2.0 至 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 較早的不支援版本可能受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.x 的使用者應升級至 3.2.4 或更高版本
• 4.x 的使用者應升級至 4.0.0.RC1 或更高版本
• 若要完全緩解此問題 (包括 CVE-2013-6429 和 CVE-2014-0054)，3.x 的使用者應升級至 3.2.8 或更高版本，而 4.x 的使用者應升級至 4.0.2 或更高版本。

鳴謝

HP Enterprise Security Team 的 Alvaro Munoz 發現了這些問題。

參考資料

• https://jira.springsource.org/browse/SPR-10806

歷史紀錄

2013-Aug-22：初始漏洞報告以 CVE-2013-4152 發布。

• 2014-Jun-19：建立了新的 CVE-2013-7315 漏洞報告，該報告從原始漏洞中分離出來。 新增了其他漏洞報告的資訊，這些報告指出此修復並不完整。