Spring Framework多个XML实体引用信息泄露漏洞
Spring Framework多个XML实体引用信息泄露漏洞
发布日期:2013-08-27
更新日期:2013-08-28
受影响系统:
SpringSource Spring Framework 3.0.0 - 3.0.2
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-4152
Spring Framework是一个开源的Java/Java EE全功能栈(full-stack)的应用程序框架,以Apache许可证形式发布,也有.NET平台上的移植版本。
Spring Framework 3.0.0-3.2.3处理包含外部实体引用的特制XML数据时出错,可被远程攻击者利用泄露某些本地文件的内容。
<*来源:Alvaro Munoz
链接:http://secunia.com/advisories/54492/
http://www.gopivotal.com/security/cve-2013-4152
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
SpringSource
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://support.springsource.com/security/
评论暂时关闭