領先一步
VMware 提供培訓和認證,可加速您的進度。
瞭解更多Spring Security 安全公告
CVE-2017-4971:Spring Web Flow 中的資料綁定表達式漏洞
描述
如果應用程式沒有更改 MvcViewFactoryCreator 的 useSpringBinding 屬性的值,且該屬性預設為停用(即設定為 "false"),則在處理表單提交但沒有
受影響的 Spring 產品與版本
- Spring Web Flow 2.4.0 至 2.4.4
- 較舊且不受支援的版本也受到影響
緩解措施
受影響版本的用戶應採用以下緩解措施
- 2.4.x 用戶應升級至 2.4.5
- 請注意,一般而言,在檢視狀態中使用明確的資料綁定宣告,以防止表單提交設定目標物件上不應設定的欄位,是一種良好的實踐,並且建議採用。
- 使用 JSF 的 Spring Web Flow 用戶不受此報告影響。
貢獻
此問題由 Gotham Digital Science 的 Stefano Ciccone 發現
參考資料
- https://jira.spring.io/browse/SWF-1700'>https://jira.spring.io/browse/SWF-1700</a>
- commit 57f2cc 在 master 分支上(2.4.5 發布版本)
- commit ec3d54 在 2.5.x 分支上(2.5.RC1 發布版本)
歷史記錄
2017-05-31:發布初始漏洞報告
報告漏洞
若要報告 Spring Portfolio 內專案的安全漏洞,請參閱安全策略