发布日期：2018-04-05
更新日期：2018-07-19

受影响系统：

pivotal Spring Framework 5.0－5.0.5
pivotal Spring Framework 4.3 < 4.3.15

描述：

---

BUGTRAQ  ID: 103696
CVE(CAN) ID: CVE-2018-1270

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

Spring Framework 5.0－5.0.5版本，4.3 < 4.3.15版本及更早版本，使用spring-messaging模块来实现STOMP代理时，应用可利用WebSocket端点公开STOMP。攻击者可以通过构造的消息可造成远程代码执行。

<*来源：Alvaro Munoz (@pwntester) Micro Focus Fortify
  *>

建议：

---

厂商补丁：

pivotal
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://pivotal.io/security/cve-2018-1270
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

参考：
https://www.exploit-db.com/exploits/44796/

浏览次数：3004
严重程度：0（网友投票）