- 博客(0)
- 资源 (3)
- 收藏
- 关注
RSS订阅spring-framework-5.0.5.RELEASE 漏洞修复
漏洞详情:
spring-messaging模块远程代码执行(CVE-2018-1270)
STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。
Windows平台Spring MVC框架目录遍历(CVE-2018-1271)
Spring MVC框架支持配置静态资源文件(例如CSS、JS、图片等)访问,当静态文件存储在Windows平台的文件系统时,攻击者可以通过构造一个恶意的URL来实现目录遍历攻击。
Spring框架Multipart内容污染(CVE-2018-1272)
当使用Spring MVC或Spring WebFlux框架的应用收到一个客户端请求,并用它来向另一个服务端发送multipart请求时,攻击者可利用该漏洞往里插入恶意内容。该漏洞的利用有一定的限制,要求攻击者能够猜到multipart字段的boundary值,因此影响较低。
2018-04-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人