Pivotal Spring Web Flow安全功能绕过漏洞（CVE-2017-4971）

hangshao

2017-06-13

Pivotal Spring Web Flow安全功能绕过漏洞（CVE-2017-4971）

发布日期：2017-05-31
更新日期：2017-06-13

受影响系统：

Pivot Spring Web Flow 2.4.0－2.4.4

不受影响系统：

Pivot Spring Web Flow 2.4.5

描述：

BUGTRAQ ID: 98785
CVE(CAN) ID: CVE-2017-4971

Pivotal Spring Web Flow是Web应用页面流程管理方案。

Spring Web Flow 2.4.0－2.4.4在数据绑定上存在的一个漏洞。该漏洞源于在Model的数据绑定上没有指定相关model的具体属性，从而导致恶意的表达式可以通过表单提交并且被执行，导致远程代码执行。

<*来源：Stefano Ciccone
*>

建议：

厂商补丁：

Pivot
-----
官方已经发布了新版本，请受影响的2.4.X用户及时更新升级至最新的2.4.5版本来防护该漏洞。官方同时建议用户应该更改数据绑定的默认设置来确保提交的表单信息符合要求来规避类似恶意行为。

参考链接:
https://pivotal.io/security/cve-2017-4971

pivotal flow 漏洞 web安全

hangshao

0 关注 0 粉丝 0 动态

相关推荐

SpringBoot的设计理念和目标、整体架构你有深入了解吗

读者可根据日常习惯，选择熟悉的代码阅读 I 具，比如 Intellij IDEA、Spring Tool Suite、Eclipse、 MyEclipse 等。阅读 Spring Boot 源代码之前，我们还需搭建基础阅读环境。Spring Boot 对

yangjinpingc 2020-10-09

Redis

　测试完成了50个并发执行100000个请求。　设置和获取的值是一个256字节字符串。　从2010年3月15日起，Redis的开发工作由VMware主持。　从2013年5月开始，Redis的开发由Pivotal赞助。Pivotal希望为新一代的应用提供一

笨重的蜗牛 2020-06-04

VMware Tanzu已融合云原生与K8s 市场前景尚不确定

Tanzu 结合了Wavefront IT监控的项目和产品，VMware于2017年5月收购了该软件，并加入了Cloud Foundry PaaS实用工具。VMware在2019年12月收购的部分产品集合都改成为Tanzu。例如，VM的Pivotal Cl

cloudnativeapp 2020-05-09

Spring Data 的 Pivotal GemFire 参考指南前言

Spring Data 针对 Pivotal GemFire 关注整合强大的 Spring 框架的能力，无创编程模型和使用 Pivotal GemFire 数据管理方案的 GemFire 的概念来集成和简化配置，开发 Java 应用程序。本文档假定你已经对

smalllove 2020-03-01

架构师成长系列 | 云原生时代的 DevOps 之道

阿里云高级研发工程师。本文整理自架构师成长系列 2 月17 日直播课程。“217”，即可获取对应直播回放链接及 PPT 下载链接。在云原生时代，企业又如何借助 DevOps 实现产品快速、稳定、高效和安全地迭代，释放业务价值呢？

舍我其谁 2020-02-28

VMware 完成 27 亿美元的 Pivotal 收购 | 云原生生态周报 Vol. 34

VMware 在 12 月 30 日宣布，已完成 27 亿美元的 Pivotal 收购，同一天 Pivotal 也已被纽约股市除名，成为 VMware 的子公司。BeyondCorp 是一个“零信任”安全框架，它将访问控制从外围转移到单个设备和用户，允许员

cloudinyachao 2020-01-10

cloud native

pivotal是云原生应用的提出者，并推出了Pivotal Cloud Foundry云原生应用平台和Spring开源 Java 开发框架，成为云原生应用架构中先驱者和探路者。早在2015年Pivotal公司的Matt Stine写了一本叫做迁移到云原生应

ithzhang 2020-01-10

Spring Boot

从最根本上来讲，Spring Boot就是一些库的集合，它能够被任意项目的构建系统所使用。简便起见，该框架也提供了命令行界面，它可以用来运行和测试Boot应用。框架的发布版本，包括集成的CLI，可以在Spring仓库中手动下载和安装。一种更为简便的方式是使

方志朋 2017-09-26

Spring框架拒绝服务漏洞（CVE-2018-15756）

pivotal Spring Framework 5.1pivotal Spring Framework 5.0.9pivotal Spring Framework 5.0.6pivotal Spring Framework 5.0.5pivotal Sp

ScarletLina 2019-06-17

一文解读2019年容器基础设施最新趋势与进展

Kubernetes的崛起令人惊叹。在短短几年时间内，它已经从一个由一群云原生开发者倡导的开源项目转变为由云服务提供商推广的标准运维平台。由于应用程序工作负载从VM转移到容器，Kubernetes已成为自动化和扩展容器部署的流行选择。但是，到目前为止，Ku

aoxixi 2019-07-31

如何从Java 开发者转型微服务？一位 Java 开发者的转型思考

简单来说，微服务是将大型单体应用程序和服务拆分为数个甚至数十个微服务，可扩展单个组件而不是整个应用程序堆栈，从而满足服务等级协议。然而，这个过程涉及很多问题需要解决，比如拆分原则、容量规划、组件选择、服务治理甚至人员配比等。本文，Pivotal 云平台资深

izhetu 2019-07-04

是时候给大家介绍SpringBoot背后豪华的研发团队了。

看了 Pivotal 公司的发展历史，这尼玛就是一场商业大片呀。Spring Boot 是由 Pivotal 团队提供的全新框架，其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。要说起这个 Pivotal 公司的由来，我得先从 Sprin

laiwanwanyihao 2019-06-30

你知道 Spring Boot 他爹有多大背景吗？

Spring Boot 是由 Pivotal 团队提供的全新框架，其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。这里的 Pivotal 团队肯定就是 Spring Boot 的研发团队了，那么这个 Pivotal 团队到底是个什么来头呢

秦怀卓 2019-06-06

Netflix OSS和Spring Boot全面融合

2015年，Spring Cloud Netflix达到1.0。快进到2018年，Spring产品已经发展和扩展以满足所有这些要求，其中一些也是通过使用和改编Netflix自己的软件！此外，社区解决方案已经超越了Netflix的原始需求。Spring及其功

baobaozai 2018-12-20

详解RabbitMQ消息队列的概念、架构及使用场景

概述之前我们的系统是用JMS来做消息队列，领导突发奇想想用开源的东西，所以选定了大名鼎鼎的rabbitMQ，下面对rabbitMQ做个初步探讨。背景RabbitMQ是一个由erlang开发的AMQP的开源实现。RabbitMQ是由RabbitMQ Tech

wubinbaoyi 2019-04-23

探访硅谷大数据公司Pivotal Lab：如何尊重工程师文化

在1989年创立Pivotal Labs的时候，Rob Mee自己也承认，这只是一家非常小的软件顾问公司，并没有什么特别与众不同的地方，主营业务就是与客户合作，帮助客户开发软件。尽管如此，Pivotal自己最大的认同感则来自于，改变协作方式，让工程师文化得

CSDN云计算 2017-05-07

推荐《迁移到云原生应用架构》免费电子书

本书是 Migrating to Cloud Native Application Architectures 的中文版。Pivotal 是云原生应用的提出者，并推出了 Pivotal Cloud Foundry 云原生应用平台和 Spring 开源 Ja

ananhao 2019-04-21

Pivotal发布包含反应式数据访问特性的新一代Spring Data的第一个

Pivotal最近发布了下一代Spring Data项目的第一个里程碑版本，他们将其称之为Release Train Kay。在发布文档中，这样写到：。这是一个特殊的释放版本，会带领我们驶往新一代的Spring Data，在前行的过程中也会包含几项破坏性的

文刀乱谈 2017-01-25

消息队列探秘 – RabbitMQ 消息队列介绍

RabbitMQ是一个由erlang开发的AMQP的开源实现。AMQP 的出现其实也是应了广大人民群众的需求，虽然在同步消息通讯的世界里有很多公开标准，但是在异步消息处理中却不是这样，只有大企业有一些商业实现，因此，在 2006 年的 6 月，Cisco

cj0 2019-04-16

为什么你不应该使用 MongoDB

每年我大约跑4-6个不同项目，所以我搭建了不少Web应用。我经历过有不同需求及不同的数据存储需求的应用。我部署过你听说过或没听说过的的大部分数据存储。我也有几次做出了错误的选择。这一切都发生在一个开放源码的名为Diaspora的项目中。Diaspora项目

llziseweiqiu 2013-12-12

hangshao

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号