漏洞发现时间:
2017-06-12
漏洞编号:
CVE-2017-4971
危险等级:
高危
受影响软件:
Spring Web Flow 2.4.0 to 2.4.4
漏洞描述:
Spring Web Flow是美国Pivotal Software公司的一款Web应用程序,是 Spring 的一个子项目,其最主要的目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题。
该漏洞与Spring Web Flow的Model数据绑定问题有关,由于没有明确指定相关Model的具体属性,导致表达式注入,从而造成任意代码执行。漏洞利用前置条件是:版本限制、默认配置、编码规范。默认情况下,usespringbinding属性是禁用的,即设置为‘false’,应用程序不会改变MvcViewFactoryCreator的值,但如果子元素没有声明显式数据绑定属性,则在处理表单提交的视图状态中,可能会受到恶意的EL表达式的影响,漏洞会被利用。
来源参考:
http://toutiao.secjia.com/spring-webflow-rce-cve-2017-4971
https://pivotal.io/security/cve-2017-4971
专家建议:
1、2.4.x用户升级到2.4.5。
2、建议在视图状态中始终使用显式数据绑定声明, 以防止表单提交在不应设置的目标对象上设置字段。
厂商补丁:
https://pivotal.io/security/cve-2017-4971