CVE-2018-1270/1275, CVE-2018-1273等 - Spring框架多个组件远程代码执行漏洞

简介:2018年4月11日,阿里云云盾应急响应中心监测到Spring框架存在一系列漏洞。 Spring 框架 5.0-5.0.4,4.3 - 4.3.15 和更老的不被支持的版本中存在远程代码执行漏...

简介:

2018年4月11日,阿里云云盾应急响应中心监测到Spring框架存在一系列漏洞。
Spring 框架 5.0-5.0.4,4.3 - 4.3.15 和更老的不被支持的版本中存在远程代码执行漏洞,允许应用通过Spring-Messaging模块搭建一个不落盘的STOMP消息中介,并在Websocket端点客户端上开启STOMP(Simple Text-Oriented Messaging Protocol) 消息服务。恶意的用户/攻击者可以通过制作特殊构建的消息发送到服务端造成远程代码执行。
Spring Data Commons 组件 1.13-1.13.10,2.0-2.0.5 和更老的不被支持的版本中存在一个属性绑定的漏洞,该漏洞是由对特殊元素的不当处理造成的,未经身份验证的远程恶意用户/攻击者可以通过对Spring Data REST支撑的HTTP服务发送特殊构造的请求或者使用Spring Data的基于投射的请求载荷绑定来造成远程代码执行。

解决方案:

建议您尽快升级到官方的新版本,即 5.0.5或以上或者4.3.16或以上。
下载链接:https://projects.spring.io/spring-framework/

参考链接: pivotal.iopivotal.io


条评论

请先 登录 后评论
不写代码的码农
三叔

421 篇文章

作家榜 »

  1. 小编 文章
返回顶部
部分文章转自于网络,若有侵权请联系我们删除