說明

Spring Integration (spring-integration-xml 和 spring-integration-ws 模組)，版本 4.3.18、5.0.10、5.1.1 和較舊的不支援版本，在接收來自不受信任來源的 XML 資料時，容易受到 XML 外部實體注入 (XXE) 的攻擊。

受影響的 Spring 產品和版本

• Spring Integration 版本 5.1.1、5.0.10、4.3.18 和更舊版本

緩解措施

受影響版本的用戶應採取以下緩解措施

• 將 spring-integration-ws、spring-integration-xml 升級到 4.3.19、5.0.11、5.1.2 或更高版本。
• Spring Integration 組件 (顯示此漏洞) 現在預設會禁用參考速查表 [1] 中建議的功能，但如果可以啟用該功能，因為 XML 是從受信任的來源接收的，則允許用戶配置組件。

參考文獻

• https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

歷史

2019-01-14：發布初始漏洞報告。