低危 Springsource Spring Framework 跨站脚本攻击

CVE编号

CVE-2014-1904

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-03-21

漏洞描述

Spring Framework是一个开源的Java／Java EE全功能栈（full-stack）的应用程序框架， 以Apache许可证形式发布，也有.NET平台上的移植版本。 Spring Framework 'FormTag.java'存在跨站脚本漏洞当。开发人员未能指定Spring表单中的动作时，Spring会指定添加请求的URI作为动作字段数据，允许攻击者利用漏洞向该表单注入恶意内容。

解决建议

Spring Framework 3.2.8和4.0.2已经修复该漏洞，建议用户下载更新：https://www.springsource.org

参考链接
http://docs.spring.io/spring/docs/3.2.8.RELEASE/changelog.txt
http://rhn.redhat.com/errata/RHSA-2014-0400.html
http://seclists.org/fulldisclosure/2014/Mar/101
http://secunia.com/advisories/57915
http://www.gopivotal.com/security/cve-2014-1904
http://www.securityfocus.com/archive/1/531422/100/0/threaded
http://www.securityfocus.com/bid/66137
https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17...
https://jira.springsource.org/browse/SPR-11426

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	pivotal_software	spring_framework	*	From (including) 3.0.0	Up to (excluding) 3.2.8
	运行在以下环境
	应用	pivotal_software	spring_framework	*	From (including) 4.0.0	Up to (excluding) 4.0.2
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	debian_10	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	debian_11	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	debian_12	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	debian_7	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-6+deb7u3
	运行在以下环境
	系统	debian_sid	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	ubuntu_14.04.6_lts	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	ubuntu_16.04.7_lts	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13
	运行在以下环境
	系统	ubuntu_18.04.5_lts	libspring-java	*		Up to (excluding) 3.0.6.RELEASE-13

阿里云评分 3.5

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com