通过JSONP通过AbstractJsonpResponseBodyAdvice进行跨域请求

CVE编号

CVE-2018-11040

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-06-26

漏洞描述

Spring Framework，5.0.7之前的版本5.0.x和4.3.18之前的4.3.x以及较旧的不受支持的版本，允许Web应用程序通过JSONP（带填充的JSON）通过AbstractJsonpResponseBodyAdvice for REST控制器和MappingJackson2JsonView启用跨域请求浏览器请求。默认情况下，两者都没有在Spring Framework和Spring Boot中启用，但是，当在应用程序中配置MappingJackson2JsonView时，JSONP支持可以通过“jsonp”和“callback”JSONP参数自动准备使用，从而启用跨域请求。<br>

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://pivotal.io/security/cve-2018-11040

参考链接
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://lists.debian.org/debian-lts-announce/2021/04/msg00022.html
https://pivotal.io/security/cve-2018-11040
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	oracle	agile_product_lifecycle_management	9.3.3	-
	运行在以下环境
	应用	oracle	agile_product_lifecycle_management	9.3.4	-
	运行在以下环境
	应用	oracle	agile_product_lifecycle_management	9.3.5	-
	运行在以下环境
	应用	oracle	application_testing_suite	12.5.0.3	-
	运行在以下环境
	应用	oracle	application_testing_suite	13.1.0.1	-
	运行在以下环境
	应用	oracle	application_testing_suite	13.2.0.1	-
	运行在以下环境
	应用	oracle	application_testing_suite	13.3.0.1	-
	运行在以下环境
	应用	oracle	communications_services_gatekeeper	*		Up to (excluding) 6.1.0.4.0
	运行在以下环境
	应用	oracle	communications_unified_inventory_management	7.3.2	-
	运行在以下环境
	应用	oracle	communications_unified_inventory_management	7.3.4	-
	运行在以下环境
	应用	oracle	communications_unified_inventory_management	7.3.5	-
	运行在以下环境
	应用	oracle	communications_unified_inventory_management	7.4.0	-
	运行在以下环境
	应用	oracle	endeca_information_discovery_integrator	3.1.0	-
	运行在以下环境
	应用	oracle	endeca_information_discovery_integrator	3.2.0	-
	运行在以下环境
	应用	oracle	enterprise_manager	13.2	-
	运行在以下环境
	应用	oracle	enterprise_manager_ops_center	12.3.3	-
	运行在以下环境
	应用	oracle	flexcube_private_banking	12.0.1.0	-
	运行在以下环境
	应用	oracle	flexcube_private_banking	12.0.3.0	-
	运行在以下环境
	应用	oracle	flexcube_private_banking	12.1.0.0	-
	运行在以下环境
	应用	oracle	flexcube_private_banking	2.0.0.0	-
	运行在以下环境
	应用	oracle	flexcube_private_banking	2.2.0.1	-
	运行在以下环境
	应用	oracle	healthcare_master_person_index	3.0	-
	运行在以下环境
	应用	oracle	healthcare_master_person_index	4.0	-
	运行在以下环境
	应用	oracle	hospitality_guest_access	4.2.0	-
	运行在以下环境
	应用	oracle	hospitality_guest_access	4.2.1	-
	运行在以下环境
	应用	oracle	insurance_rules_palette	10.0	-
	运行在以下环境
	应用	oracle	insurance_rules_palette	10.2	-
	运行在以下环境
	应用	oracle	micros_lucas	2.9.5	-
	运行在以下环境
	应用	oracle	mysql_enterprise_monitor	*		Up to (including) 3.4.9.4237
	运行在以下环境
	应用	oracle	mysql_enterprise_monitor	*	From (including) 3.4.10	Up to (including) 4.0.6.5281
	运行在以下环境
	应用	oracle	mysql_enterprise_monitor	*	From (including) 4.0.7	Up to (including) 8.0.2.8191
	运行在以下环境
应用	oracle	product_lifecycle_management	9.3.6	-
运行在以下环境
应用	oracle	retail_customer_insights	15.0	-
运行在以下环境
应用	oracle	retail_customer_insights	16.0	-
运行在以下环境
应用	oracle	utilities_network_management_system	1.12.0.3	-
运行在以下环境
应用	oracle	weblogic_server	12.2.1.3.0	-
运行在以下环境
应用	pivotal_software	spring_framework	*	From (including) 4.3.0	Up to (excluding) 4.3.18
运行在以下环境
应用	pivotal_software	spring_framework	*	From (including) 5.0.0	Up to (excluding) 5.0.7
运行在以下环境
系统	debian_9	libspring-java	*		Up to (excluding) 4.3.5-1+deb9u1
运行在以下环境
系统	ubuntu_18.04_lts	libspring-java	*		Up to (excluding) 4.3.19-1
运行在以下环境
系统	ubuntu_18.10	libspring-java	*		Up to (excluding) 4.3.19-1

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-829 从非可信控制范围包含功能例程