描述

提供給 ResourceServlet 的路徑未經過適當清理，因此暴露於目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Framework 4.3.0 至 4.3.4
• Spring Framework 4.2.0 至 4.2.8
• Spring Framework 3.2.0 至 3.2.17
• 較舊且不受支援的版本也會受到影響

緩解措施

受影響版本的用戶應採取以下緩解措施

• 4.3.x 用戶應升級至 4.3.5
• 4.2.x 用戶應升級至 4.2.9
• 3.2.x 用戶應升級至 3.2.18

請注意，很少有應用程式可能會使用 ResourceServlet。自 3.0 版（約 2009 年）以來，它通常已被 ResourceHttpRequestHandler 和相關類別取代，這些類別預設使用並提供更先進的功能，請參閱參考文件中「Serving Resources」。ResourceServlet 現在在 3.2.x 和 4.x 中已棄用，並從版本 5 開始完全移除。

致謝

此問題由 NTT DATA Corporation 的 Shumpei Asahara & Yuji Ito 發現，並負責地向 Pivotal 報告。

參考

• https://github.com/spring-projects/spring-framework/commit/e2d6e709c3c65a4951eb096843ee75d5200cfcad'>4.3.x 分支中的 Commit
• https://github.com/spring-projects/spring-framework/commit/43bf008fbcd0d7945e2fcd5e30039bc4d74c7a98'>4.2.x 分支中的 Commit
• https://github.com/spring-projects/spring-framework/commit/a7dc48534ea501525f11369d369178a60c2f47d0'>3.2.s 分支中的 Commit
• https://jira.spring.io/browse/SPR-14946>

歷史紀錄

2016-12-21：發布初始漏洞報告