Spring Security 安全性公告

所有公告

CVE-2019-3773:XML 外部實體注入 (XXE)

嚴重 | 2019 年 1 月 14 日 | CVE-2019-3773

描述

Spring Web Services 2.4.3、3.0.4 以及所有三個專案的較舊、不受支援的版本,在接收來自不受信任來源的 XML 資料時,容易受到 XML 外部實體注入 (XXE) 攻擊。

受影響的 Spring 產品和版本

  • Spring Web Services 2.4.3、3.0.4 及更舊版本

緩解措施

受影響版本的使用者應採用以下緩解措施

  • 將 spring-ws、spring-xml jars 升級到 2.4.4、3.0.6 或更高版本
  • Spring Web Services 元件現在預設會停用參考速查表 [1] 中建議的功能,以避免此漏洞。但如果 XML 是從受信任來源接收的,則允許使用者設定元件以啟用該功能。

參考資料

歷史記錄

2019-01-14:發佈初始漏洞報告。

回報漏洞

若要回報 Spring 產品組合中的專案安全性漏洞,請參閱安全性原則

領先一步

VMware 提供培訓和認證,以加速您的進度。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視全部