发布日期：2014-03-12
更新日期：2014-03-14

受影响系统：

SpringSource Spring Framework 4.x
SpringSource Spring Framework 3.x

描述：

---

BUGTRAQ  ID: 66148
CVE(CAN) ID: CVE-2014-0054

Spring Framework是一个开源的Java／Java EE全功能栈（full-stack）的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring MVC 3.0.0-3.2.7、Spring MVC 4.0.0-4.0.1在处理XML数据时Jaxb2RootElementHttpMessageConverter类在实现上存在错误，可导致泄漏某些本地文件的内容。

<*来源：Spase Markovski
  
  链接：http://secunia.com/advisories/57391/
*>

建议：

---

厂商补丁：

SpringSource
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.springsource.com/security/


Spring:
http://www.gopivotal.com/security/CVE-2014-0054

参考：
Spase Markovski:
https://jira.spring.io/browse/SPR-11376

浏览次数：2175
严重程度：0（网友投票）