【漏洞公告】Spring Framework多个安全漏洞预警

2018年4月7日，阿里云云盾应急响应中心监测到Spring官方在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE漏洞(CVE-2018-1270，CVE-2018-1271，CVE-2018-1272)
。其中CVE-2018-1270为远程代码执行高危漏洞，若使用spring-messaging + websocket + STOMP架构情况下，攻击者可以利用spring-messaging模块向代理发送恶意的消息，从而导致远程代码执行。
漏洞名称：CVE-2018-1270：使用Spring-messaging导致远程命令执行CVE-2018-1271：在Windows系统上使用Spring MVC导致目录遍历CVE-2018-1272：使用Spring 框架存在Multipart类型污染漏洞 官方评级：CVE-2018-1270：高危CVE-2018-1271：严重CVE-2018-1272：低危
受影响范围：
Spring Framework 5.0 - 5.0.4Spring Framework 4.3 - 4.3.14官方已不支持的旧版本
解决方案：
阿里云安全团队建议使用了Spring相关框架用户关注并及时更新到官方最新版5.0.x 版本用户更新至 5.0.5版本4.3.x 版本用户更新至 4.3.16版本
对应的修复版本，官方下载链接：https://projects.spring.io/spring-framework/ 更多详情请点击
我们会关注后续进展，请随时关注官方公告。 如有任何问题，可随时通过工单或服务电话95187联系反馈。 阿里云云盾应急响应中心
2018.04.07