发布日期：2018-05-09
更新日期：2018-05-14

受影响系统：

SpringSource Data Commons 2.0 － 2.0.6 (Kay SR6)
SpringSource Data Commons 1.13 － 1.13.11 (Ingalls SR11)
SpringSource Data REST 3.0-3.0.6 (Kay SR6)
SpringSource Data REST 2.6-2.6.11 (Ingalls SR11)

描述：

---

CVE(CAN) ID: CVE-2018-1259

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Data Commons部分版本存在XML外部实体引用漏洞。未经身份验证的远程恶意用户可以针对Spring Data的基于投影（projection-based）的请求并附加恶意的请求参数，以访问系统上的任意文件。该漏洞只影响使用XMLBeam的用户，而使用Spring Security提供的端点认证和授权可以有效的限制该漏洞。

<*来源：vendor
  *>

建议：

---

厂商补丁：

SpringSource
------------
升级至以下安全版本：

13.x用户应升级到1.13.12 (Ingalls SR12)
0.x用户应升级到2.0.7 (Kay SR7)
或者, 升级到XMLBeam 1.4.15
Spring Data REST 2.6.12 (Ingalls SR12)
Spring Data REST 3.0.7 (Kay SR7)
参考链接：

https://pivotal.io/security/cve-2018-1259

浏览次数：1822
严重程度：0（网友投票）