N/A

Spring Framework, versions 5.0 prior to 5.0.5 and versions 4.3 prior to 4.3.16 and older unsupported versions, allow applications to expose STOMP over WebSocket endpoints with a simple, in-memory STOMP broker through the spring-messaging module. A malicious user (or attacker) can craft a message to the broker that can lead to a remote code execution attack. This CVE addresses the partial fix for CVE-2018-1270 in the 4.3.x branch of the Spring Framework.

N/A

对生成代码的控制不恰当(代码注入)

Pivotal Spring Framework 安全漏洞

Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Spring Framework中存在安全漏洞，该漏洞源于程序允许应用程序使用简单的内存STOMP代理通过WebSocket端点公开STOMP。远程攻击者可通过发送特制的消息利用该漏洞执行代码。以下版本受到影响：Spring Framework 5.0.5之前的5.0.x版本，4.3.16之前的4.3.x版本及已

N/A

N/A