发布日期：2013-08-27
更新日期：2013-08-28

受影响系统：

SpringSource Spring Framework 3.0.0 - 3.0.2

描述：

---

CVE(CAN) ID: CVE-2013-4152

Spring Framework是一个开源的Java／Java EE全功能栈（full-stack）的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Framework 3.0.0-3.2.3处理包含外部实体引用的特制XML数据时出错，可被远程攻击者利用泄露某些本地文件的内容。

<*来源：Alvaro Munoz
  
  链接：http://secunia.com/advisories/54492/
        http://www.gopivotal.com/security/cve-2013-4152
*>

建议：

---

厂商补丁：

SpringSource
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.springsource.com/security/

浏览次数：2901
严重程度：0（网友投票）