說明

Spring Data Commons 1.13 至 1.13.11 和 2.0 至 2.0.6 版本，與 XMLBeam 1.4.14 或更早版本結合使用時，由於底層函式庫 XMLBeam 未限制外部參考擴展，因此存在因不當限制 XML 外部實體參考而導致的屬性繫結漏洞。未經驗證的遠端惡意使用者可以針對 Spring Data 基於投影的請求承載繫結提供特製的請求參數，以存取系統上的任意檔案。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 至 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 至 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 至 2.0.6 (Kay SR6)
• Spring Data REST 3.0 至 3.0.6 (Kay SR6)

緩解措施

受影響版本的用戶應套用以下緩解措施

• 1.13.x 用戶應升級至 1.13.12 (Ingalls SR12)
• 2.0.x 用戶應升級至 2.0.7 (Kay SR7)
• 或者，升級至 XMLBeam 1.4.15

已修復此問題的版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

沒有其他必要的緩解步驟。

請注意，只有在使用 XMLBeam 時才能利用此漏洞。對端點使用身分驗證和授權（Spring Security 提供這兩者）會將此漏洞的暴露限制在已授權的用戶。

致謝

此問題由 Abago Forgans 發現並負責地回報。

參考資料

• https://jira.spring.io/browse/DATACMNS-1292>
• Spring Data Commons：Web 資料繫結支援

歷史記錄

2018-05-09：發佈初始漏洞報告