描述

Spring Framework 5.0 到 5.0.4、4.3 到 4.3.14 以及較舊的不支援版本允許應用程式設定 Spring MVC 來提供靜態資源（例如 CSS、JS、圖像）。當靜態資源從 Windows 上的檔案系統提供時（而不是從類別路徑或 ServletContext），惡意使用者可以傳送使用特殊製作的 URL 的請求，從而導致目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.4
• Spring Framework 4.3 到 4.3.14
• 較舊的不支援版本也受到影響

緩解措施

受影響版本的用戶應採用以下緩解措施

• 5.0.x 用戶應升級至 5.0.5
• 4.3.x 用戶應升級至 4.3.15
• 較舊的版本應升級至支援的分支

沒有其他必要的緩解步驟。

另請注意，此攻擊不適用於以下應用程式

• 不使用 Windows。
• 不從檔案系統提供檔案，即不使用 “file:” 作為資源位置。
• 使用已針對 CVE-2018-1199 進行修補的 Spring Security 版本。

鳴謝

此問題由來自 DEVCORE 的 Orange Tsai (@orange_8361) 識別並負責地報告。

參考文獻

• 啟用提供靜態資源的 Spring MVC 配置範例：Spring MVC config。

歷史記錄

2018-04-05：發布初始漏洞報告

• 2018-04-13：從不受影響的清單中刪除 “使用 Tomcat 或 WildFly”