发布日期：2018-05-09
更新日期：2018-05-14

受影响系统：

SpringSource Spring Framework 5.0－5.0.5
SpringSource Spring Framework 4.3－4.3.16

描述：

---

CVE(CAN) ID: CVE-2018-1257

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Framework部分版本允许应用程序利用Spring消息模块通过简单的内存STOMP代理在WebSocket端点上公开STOMP。攻击者可以向broker发送一条特制的消息，导致拒绝服务攻击。同时满足以下所有条件才受到该漏洞影响：依赖于spring-messaging和spring-websocket模块。通过WebSocket端点注册STOMP。启用简单的STOMP代理。

<*来源：vendor
  *>

建议：

---

厂商补丁：

SpringSource
------------
升级至以下安全版本：

0.x用户升级到5.0.6.
3.x用户升级到4.3.17.
不再受支持的版本应升级至各自对应的安全版本
参考链接：

https://pivotal.io/security/cve-2018-1257

浏览次数：2055
严重程度：0（网友投票）