描述

此 CVE 解決了利用與 CVE-2017-4971 下描述的漏洞相同的漏洞的第二種途徑。

如果應用程式未變更 MvcViewFactoryCreator useSpringBinding 屬性的值（預設為停用，即設定為 “false”），則在處理表單提交的檢視狀態中，它們可能容易受到惡意 EL 表示式的攻擊，但沒有用於宣告明確資料繫結屬性對應的 sub-元素。

受影響的 Spring 產品和版本

• Spring Web Flow 2.4.0 至 2.4.5
• 較舊的不支援版本也受到影響

緩解措施

受影響版本的使用者應套用以下緩解措施

• 2.4.x 使用者應升級至 2.4.6

請注意，一般而言，在檢視狀態中始終使用明確的資料繫結宣告是一種好的做法，並且建議您這樣做，以防止表單提交在不應設定的目標物件上設定欄位。

使用 JSF 的 Spring Web Flow 使用者不受此報告的影響。

致謝

此問題由安全研究人員 he1renyagao 發現。

參考

• 問題追蹤單 SWF-1711。
• 提交 df0eab 和 ed5e8c 在 master 分支上（2.4.6 發布）。
• 提交 084b4e 在 2.5.x 分支上（2.5.RC1 發布）。

歷史

2017-09-15：發布初始漏洞報告