描述

Spring Framework 5.2.x 版本 (直至 5.2.3 之前) 易受 CSRF 攻擊，攻擊透過 CORS preflight requests 針對 Spring MVC (spring-webmvc 模組) 或 Spring WebFlux (spring-webflux 模組) 端點。

只有未經身份驗證的端點才容易受到攻擊，因為 preflight requests 不應包含憑證，因此請求應驗證失敗。然而，一個值得注意的例外是基於 Chrome 的瀏覽器在使用客戶端憑證進行身份驗證時，因為 Chrome 會在 CORS preflight requests 中發送 TLS 客戶端憑證，這違反了規格要求。

作為此攻擊的結果，無法發送或接收 HTTP 主體。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.2.0 至 5.2.2

緩解措施

受影響版本的用戶應應用以下緩解措施。5.2.x 用戶應升級到 5.2.3。無需其他緩解步驟。啟用基於 URL 安全性和 CORS 支持的 Spring Security 可以防止暴露於此漏洞。修復此問題的版本包括

• Spring Framework
  • 5.2.3

致謝

此問題由 Google 的 Eric Zimanyi 發現並負責地報告。

參考資料

• https://www.w3.org/TR/cors/
• https://bugs.chromium.org/p/chromium/issues/detail?id=775438

歷史記錄

• 2020-01-16：發布初始漏洞報告。