我们公司的 Sonatype 扫描显示即使最新版本(当前版本为 5.2.3.RELEASE),Spring-Web 仍然存在漏洞。
扫描结果如下:
"发现安全漏洞 CVE-2016-1000027,风险评级为 9.8"。
我注意到 CVE-2016-1000027 已于 01/02/2020 加入了国家漏洞数据库,并且是关于以下问题的:
"如果用于反序列化不受信任的数据,Spring Framework 4.1.4 存在潜在的远程代码执行 (RCE) 问题"。
这是过时的漏洞信息还是在 4 年后仍未得到解决?
从Spring Framework的角度来看,这个问题已经得到解决,请参考我最新的评论总结该问题的情况。只有在使用HTTPInvokerServiceExporter或RemoteInvocationSerializingExporter并从不受信任的来源读取数据时,您的应用程序才会存在漏洞。
从不受信任的来源反序列化Java代码是Java中众所周知的问题(因此,所有Java应用程序和框架都是如此!),这个功能可能会在未来的Java版本中删除。
鉴于这个安全问题的特殊性(除了删除这些类之外,没有其他方法可以“修复”它,这将在下一个Spring Framework的主要版本中完成),联系您的供应商或安全团队是最好的解决方案。如果需要,Spring团队很乐意通过提供更多关于该问题的上下文来帮助社区。
