行业动态

漏洞发现时间：

2017-06-12

漏洞编号：

CVE-2017-4971

危险等级：

高危

受影响软件：

Spring Web Flow 2.4.0 to 2.4.4

漏洞描述：

      Spring Web Flow是美国Pivotal Software公司的一款Web应用程序，是 Spring 的一个子项目，其最主要的目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题。

  该漏洞与Spring Web Flow的Model数据绑定问题有关，由于没有明确指定相关Model的具体属性，导致表达式注入，从而造成任意代码执行。漏洞利用前置条件是：版本限制、默认配置、编码规范。默认情况下，usespringbinding属性是禁用的，即设置为‘false’，应用程序不会改变MvcViewFactoryCreator的值，但如果子元素没有声明显式数据绑定属性，则在处理表单提交的视图状态中，可能会受到恶意的EL表达式的影响，漏洞会被利用。

来源参考：

http://toutiao.secjia.com/spring-webflow-rce-cve-2017-4971

https://pivotal.io/security/cve-2017-4971

专家建议：

1、2.4.x用户升级到2.4.5。

2、建议在视图状态中始终使用显式数据绑定声明， 以防止表单提交在不应设置的目标对象上设置字段。

厂商补丁：

https://pivotal.io/security/cve-2017-4971