Spring Framework表达式语言JSP属性处理信息泄露漏洞 CVE-2011-2730 CNNVD-201109-126 CNNVD-201109-135
7.5
AV
AC
AU
C
I
A
发布:
2012-12-05
修订:
2017-08-09
Pivotal Software Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 VMware SpringSource Spring Framework 2.5.6.SEC03之前的版本、2.5.7.SR023、3.0.6之前的3.x版本中存在漏洞。该漏洞源于在容器支持表达式语言(EL)的情况下,程序会在标签中重复计算EL表达式。通过(a)spring:hasBindErrors标签中的(1)名字属性;(b)spring:bind或(c)spring:nestedpath标签中的(2)路径属性;(d)spring:message或(e)spring:theme标签中的(3)参数(4)代码(5)文本(6)定义变量(7)作用域或(8)消息属性;(f)spring:transform标签中的(9)定义变量(10)作用域或(11)值属性,远程攻击者利用该漏洞获取敏感信息。又名‘表达式语言注入’。
漏洞利用/PoC
当前有3条漏洞利用/PoC
受影响的平台与产品
当前有16条受影响产品信息
