5.0.5.RELEASE版本的Spring Framework已修复漏洞

漏洞详情： spring-messaging模块远程代码执行（CVE-2018-1270） STOMP（Simple Text Orientated Messaging Protocol）全称为简单文本定向消息协议，它允许STOMP客户端与任意STOMP消息代理（Broker）进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现，STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞，因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台Spring MVC框架目录遍历（CVE-2018-1271） Spring MVC框架支持配置静态资源文件（例如CSS、JS、图片等）访问，当静态文件存储在Windows平台的文件系统时，攻击者可以通过构造一个恶意的URL来实现目录遍历攻击。 Spring框架Multipart内容污染（CVE-2018-1272） 当使用Spring MVC或Spring WebFlux框架的应用收到一个客户端请求，并用它来向另一个服务端发送multipart请求时，攻击者可利用该漏洞往里插入恶意内容。该漏洞的利用有一定的限制，要求攻击者能够猜到multipart字段的boundary值，因此影响较低。