描述

Spring Framework 5.0.x 版 (早於 5.0.5) 和 4.3.x 版 (早於 4.3.16)，以及較舊且不受支援的版本，允許應用程式透過 spring-messaging 模組，使用簡單的記憶體內 STOMP 代理程式，經由 WebSocket 端點公開 STOMP。惡意使用者 (或攻擊者) 可以製作傳送給代理程式的訊息，進而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.15
• 較舊且不受支援的版本也受到影響

緩解措施

受影響版本的使用者應套用以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.16
• 較舊的版本應升級到受支援的分支

沒有其他必要的緩解步驟。

請注意，使用訊息的驗證和授權 (Spring Security 皆有提供)，會將此漏洞的暴露限制在已授權的使用者。

致謝

此問題由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 識別並負責地回報。

參考資料

• 啟用簡單代理程式的 WebSocket 配置上的 STOMP 範例。
• Spring Security WebSocket 支援文件。

歷史記錄

2018-04-05：發布初始漏洞報告

• 2018-04-10：由於 CVE-2018-1275，將升級版本 4.3.15 替換為 4.3.16