发布日期：2018-04-05
更新日期：2018-07-19

受影响系统：

pivotal Spring Framework 5.0－5.0.5
pivotal Spring Framework 4.3 < 4.3.15

描述：

---

BUGTRAQ  ID: 103699
CVE(CAN) ID: CVE-2018-1271

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Framework 5.0－5.0.5版本，4.3 < 4.3.15版本及更早版本，当配置Spring MVC的静态资源存放在Windows系统上时，攻击可以通过构造特殊URL导致目录遍历攻击。

<*来源：Orange Tsai
  *>

建议：

---

厂商补丁：

pivotal
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://pivotal.io/security/cve-2018-1271
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

参考：
https://access.redhat.com/errata/RHSA-2018:1320

浏览次数：1916
严重程度：0（网友投票）