說明

當程式設計師未在 Spring 表單上指定動作時，Spring 會自動使用請求的 URI 填入動作欄位。 攻擊者可以使用它將惡意內容注入表單。

受影響的 Spring 產品和版本

• Spring MVC 3.0.0 至 3.2.7
• Spring MVC 4.0.0 至 4.0.1
• 較早的未支援版本可能受到影響

緩解措施

受影響版本的用戶應採用以下緩解措施

• 3.x 的用戶應升級到 3.2.8 或更高版本
• 4.x 的用戶應升級到 4.0.2 或更高版本

致謝

這個問題是由 CAaNES LLC 的 Paul Wowk 負責地發現並報告給 Pivotal 安全團隊的。

參考

• https://jira.springsource.org/browse/SPR-11426
• https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
• https://github.com/spring-projects/spring-framework/commit/75e08695a04980dbceae6789364717e9d8764d58#diff-5c29d6685335045274d9908c5cd45e45

歷史記錄

2014-Mar-11：發布初始漏洞報告。

• 2014-Aug-19：修正受影響的版本，排除 Spring MVC 3.2.8 並包含對 3.2.x commit 的參考。