发布日期：2018-04-05
更新日期：2018-07-19

受影响系统：

pivotal Spring Framework 5.0－5.0.5
pivotal Spring Framework 4.3 < 4.3.15

描述：

---

BUGTRAQ  ID: 103697
CVE(CAN) ID: CVE-2018-1272

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Framework 5.0－5.0.5版本，4.3 < 4.3.15版本及更早版本，在Spring MVC或者WebFlux应用把远程客户端请求向另一台服务器发出multipart请求时，攻击者通过构造和污染Multipart类型请求，可能对另一台服务器实现权限提升攻击。

<*来源：Philippe Arteau
  *>

建议：

---

厂商补丁：

pivotal
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://pivotal.io/security/cve-2018-1272
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

参考：
https://access.redhat.com/errata/RHSA-2018:1320

浏览次数：2008
严重程度：0（网友投票）