描述

Spring Framework（5.0.x 版早於 5.0.7、4.3.x 版早於 4.3.18，以及較舊的不支援版本）允許 Web 應用程式使用 Spring MVC 中的 HiddenHttpMethodFilter 將 HTTP 請求方法變更為任何 HTTP 方法（包括 TRACE）。如果應用程式存在現有的 XSS 漏洞，惡意使用者（或攻擊者）可以使用此篩選器來升級到 XST（跨站追蹤）攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 至 5.0.6
• Spring Framework 4.3 至 4.3.17
• 較舊的不支援版本也會受到影響

緩解措施

受影響版本的使用者應套用以下緩解措施

• 5.0.x 使用者應升級至 5.0.7
• 4.3.x 使用者應升級至 4.3.18
• 較舊版本應升級至支援的分支

沒有其他必要的緩解步驟。

此攻擊適用於以下應用程式：

• 使用 HiddenHttpMethodFilter（在 Spring Boot 中預設啟用）
• 允許應用程式伺服器處理 HTTP TRACE 請求

此攻擊無法直接利用，因為攻擊者必須透過 HTTP POST 發出跨域請求，這會被同源策略禁止。 這就是為什麼 Web 應用程式本身中需要存在現有的 XSS（跨站指令碼）漏洞，才能升級到 XST。

貢獻

此問題由 Ocado Technology 的 Mariusz Łuciów 發現並報告。

歷史記錄

2018-06-14：發布初始漏洞報告。