使用Spring Framework构建的应用程序面临严重缺陷

Spring框架，是用于开发Java Web的应用程序的。最近，其开发人员修补了三个漏洞，其中包括可用于远程代码执行的关键漏洞。

最严重的缺陷位于spring-messaging模块，它允许应用程序通过内存中的STOMP代理在WebSocket端点上公开STOMP（简单文本导向消息传递协议）。攻击者可以通过向代理发送特制的消息，利用该问题来获取远程代码执行。

该漏洞被命名为CVE-2018-1270，它影响了Spring Framework版本4.3.x和5.x，以及不再支持旧版本。强烈建议用户升级到新发布的Spring Framework 5.0.5或4.3.15。

第二个高级漏洞CVE-2018-1271，影响了用Spring MVC去服务静态资源如Windows上的文件系统里的CSS，JS的应用。该漏洞允许攻击者通过向特制URL发送请求来执行目录浏览，以访问受限资源。

凡是未使用Tomcat或WildFly作为其服务器的应用程序，或者未使用Windows文件的不受影响。

在Spring Framework 5.0.5和4.3.15，CVE-2018-1272中修补的第三个漏洞可能导致权限提升，但由于利用需要额外的攻击媒介，因此评级较低。

“当Spring MVC或Spring WebFlux服务器应用程序（服务器A）从远程客户端接收输入，然后使用该输入向另一个服务器（服务器B）发出多部分请求时，它可能会受到攻击，其中一个额外的多余部分插入服务器A的请求内容，导致服务器B对其预期的部分使用错误的值，“Spring开发人员指出。

但是，为了能成功，攻击者“必须能够猜测服务器A为服务器B的多部分请求选择的多部分边界值，这要求攻击者具有控制服务器或查看服务器的能力。”

Spring具有模块化架构，很受应用程序开发人员的欢迎，尤其是在企业领域。根据2016年对2040名参与者的调查结果，Spring MVC和Spring Boot是Java开发人员中最受欢迎的两个Web框架，分别被43％和29％的受访者使用。