远程执行漏洞威胁到使用Spring框架构建的应用程序，现在修补

Spring框架是一个流行的、轻量级的开源框架，用于开发基于Java的企业应用程序。
在Pivotal今天发布的一份公告中，该公司详细介绍了Spring Framework版本5.0至5.0.4、4.3至4.3.14以及不受支持的旧版本中发现的三个漏洞：

• 批评的：使用spring消息传递远程代码执行（CVE-2018-1270）
• 高的：在Windows上使用Spring MVC进行目录遍历（CVE-2018-1271）
• 低的：Spring框架下的多部分内容污染（CVE-2018-1272）

易受攻击的Spring Framework版本通过“Spring messaging”模块通过内存中的STOMP代理在WebSocket端点上暴露STOMP客户端，这可能使攻击者向代理发送恶意编制的消息，从而导致远程代码执行攻击（CVE-2018-1270）。

该公司建议，“对消息进行身份验证和授权（如Spring Security提供的消息）可以限制仅允许使用该应用程序的用户暴露于该漏洞”。
第二个漏洞（CVE-2018-1271）存在于Spring的Web model view controller（MVC）中，当配置为从Windows上的文件系统提供静态资源（例如CSS、JS、图像）时，攻击者可通过该漏洞执行目录遍历攻击并访问受限目录。

如果不使用Windows提供内容，则此漏洞不起作用，如果不从文件系统提供文件或使用Tomcat/WildFly作为服务器，则可以避免此漏洞。

Pivotal发布了Spring框架5.0.5和4.3.15，其中包括对所有三个漏洞的修复。该公司还发布了Spring Boot 2.0.1和1.5.11，它们与经过修补的Spring框架版本相匹配。

因此，强烈建议开发人员和管理员立即将其软件升级到最新版本。