使用Spring Framework構建的應用程序面臨嚴重缺陷

Spring框架，是用於開發Java Web的應用程序的。最近，其開發人員修補了三個漏洞，其中包括可用於遠程代碼執行的關鍵漏洞。

最嚴重的缺陷位於spring-messaging模塊，它容許應用程序經過內存中的STOMP代理在WebSocket端點上公開STOMP（簡單文本導向消息傳遞協議）。攻擊者能夠經過向代理髮送特製的消息，利用該問題來獲取遠程代碼執行。

該漏洞被命名爲CVE-2018-1270，它影響了Spring Framework版本4.3.x和5.x，以及再也不支持舊版本。強烈建議用戶升級到新發布的Spring Framework 5.0.5或4.3.15。

第二個高級漏洞CVE-2018-1271，影響了用Spring MVC去服務靜態資源如Windows上的文件系統裏的CSS，JS的應用。該漏洞容許攻擊者經過向特製URL發送請求來執行目錄瀏覽，以訪問受限資源。

凡是未使用Tomcat或WildFly做爲其服務器的應用程序，或者未使用Windows文件的不受影響。

在Spring Framework 5.0.5和4.3.15，CVE-2018-1272中修補的第三個漏洞可能致使權限提高，但因爲利用須要額外的攻擊媒介，所以評級較低。

「當Spring MVC或Spring WebFlux服務器應用程序（服務器A）從遠程客戶端接收輸入，而後使用該輸入向另外一個服務器（服務器B）發出多部分請求時，它可能會受到攻擊，其中一個額外的多餘部分插入服務器A的請求內容，致使服務器B對其預期的部分使用錯誤的值，「Spring開發人員指出。

可是，爲了能成功，攻擊者「必須可以猜想服務器A爲服務器B的多部分請求選擇的多部分邊界值，這要求攻擊者具備控制服務器或查看服務器的能力。」

Spring具備模塊化架構，很受應用程序開發人員的歡迎，尤爲是在企業領域。根據2016年對2040名參與者的調查結果，Spring MVC和Spring Boot是Java開發人員中最受歡迎的兩個Web框架，分別被43％和29％的受訪者使用。