阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
漏洞情报
搜索
NVD
Web应用
CVE-2018-1257
低危
Spring Framework 至 4.3.16/5.0.5 STOMP Regular Expression 输入验证漏洞
CVE编号
CVE-2018-1257
利用情况
暂无
补丁情况
官方补丁
披露时间
2018-05-12
漏洞描述
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Pivotal Spring Framework 5.0.6之前的5.0.x版本、4.3.17之前的4.3.x版本及已不再支持的老版本中存在安全漏洞。攻击者可通过构建消息利用该漏洞造成拒绝服务。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pivotal.io/security/cve-2018-1257
参考链接
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.securityfocus.com/bid/104260
https://access.redhat.com/errata/RHSA-2018:1809
https://access.redhat.com/errata/RHSA-2018:3768
https://pivotal.io/security/cve-2018-1257
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
oracle
agile_product_lifecycle_management
9.3.3
-
运行在以下环境
应用
oracle
agile_product_lifecycle_management
9.3.4
-
运行在以下环境
应用
oracle
agile_product_lifecycle_management
9.3.5
-
运行在以下环境
应用
oracle
agile_product_lifecycle_management
9.3.6
-
运行在以下环境
应用
oracle
application_testing_suite
12.5.0.3
-
运行在以下环境
应用
oracle
application_testing_suite
13.1.0.1
-
运行在以下环境
应用
oracle
application_testing_suite
13.2.0.1
-
运行在以下环境
应用
oracle
application_testing_suite
13.3.0.1
-
运行在以下环境
应用
oracle
big_data_discovery
1.6.0
-
运行在以下环境
应用
oracle
communications_converged_application_server
*
Up to
(excluding)
7.0.0.1
运行在以下环境
应用
oracle
communications_diameter_signaling_router
*
Up to
(excluding)
8.3
运行在以下环境
应用
oracle
communications_performance_intelligence_center
*
Up to
(excluding)
10.2.1
运行在以下环境
应用
oracle
communications_services_gatekeeper
*
Up to
(excluding)
6.1.0.4.0
运行在以下环境
应用
oracle
communications_unified_inventory_management
7.3.2
-
运行在以下环境
应用
oracle
communications_unified_inventory_management
7.3.4
-
运行在以下环境
应用
oracle
communications_unified_inventory_management
7.3.5
-
运行在以下环境
应用
oracle
communications_unified_inventory_management
7.4.0
-
运行在以下环境
应用
oracle
endeca_information_discovery_integrator
3.1.0
-
运行在以下环境
应用
oracle
endeca_information_discovery_integrator
3.2.0
-
运行在以下环境
应用
oracle
enterprise_manager_base_platform
12.1.0.5.0
-
运行在以下环境
应用
oracle
enterprise_manager_base_platform
13.2.0.0.0
-
运行在以下环境
应用
oracle
enterprise_manager_base_platform
13.3.0.0.0
-
运行在以下环境
应用
oracle
enterprise_manager_for_mysql_database
13.2
-
运行在以下环境
应用
oracle
enterprise_manager_ops_center
12.3.3
-
运行在以下环境
应用
oracle
flexcube_private_banking
12.0.1.0
-
运行在以下环境
应用
oracle
flexcube_private_banking
12.0.3.0
-
运行在以下环境
应用
oracle
flexcube_private_banking
12.1.0.0
-
运行在以下环境
应用
oracle
flexcube_private_banking
2.0.0.0
-
运行在以下环境
应用
oracle
flexcube_private_banking
2.2.0.1
-
运行在以下环境
应用
oracle
goldengate_for_big_data
12.2.0.1
-
运行在以下环境
应用
oracle
goldengate_for_big_data
12.3.1.1
-
运行在以下环境
应用
oracle
goldengate_for_big_data
12.3.2.1
-
运行在以下环境
应用
oracle
healthcare_master_person_index
3.0
-
运行在以下环境
应用
oracle
healthcare_master_person_index
4.0
-
运行在以下环境
应用
oracle
health_sciences_information_manager
3.0
-
运行在以下环境
应用
oracle
hospitality_guest_access
4.2.0
-
运行在以下环境
应用
oracle
hospitality_guest_access
4.2.1
-
运行在以下环境
应用
oracle
insurance_calculation_engine
10.1.1
-
运行在以下环境
应用
oracle
insurance_calculation_engine
10.2
-
运行在以下环境
应用
oracle
insurance_calculation_engine
10.2.1
-
运行在以下环境
应用
oracle
insurance_rules_palette
10.0
-
运行在以下环境
应用
oracle
insurance_rules_palette
10.1
-
运行在以下环境
应用
oracle
insurance_rules_palette
10.2
-
运行在以下环境
应用
oracle
insurance_rules_palette
11.0
-
运行在以下环境
应用
oracle
insurance_rules_palette
11.1
-
运行在以下环境
应用
oracle
primavera_gateway
15.2
-
运行在以下环境
应用
oracle
primavera_gateway
16.2
-
运行在以下环境
应用
oracle
primavera_gateway
17.12
-
运行在以下环境
应用
oracle
retail_customer_insights
15.0
-
运行在以下环境
应用
oracle
retail_customer_insights
16.0
-
运行在以下环境
应用
oracle
retail_open_commerce_platform
5.3.0
-
运行在以下环境
应用
oracle
retail_open_commerce_platform
6.0.0
-
运行在以下环境
应用
oracle
retail_open_commerce_platform
6.0.1
-
运行在以下环境
应用
oracle
retail_order_broker
15.0
-
运行在以下环境
应用
oracle
retail_order_broker
16.0
-
运行在以下环境
应用
oracle
retail_order_broker
5.1
-
运行在以下环境
应用
oracle
retail_order_broker
5.2
-
运行在以下环境
应用
oracle
retail_predictive_application_server
14.0
-
运行在以下环境
应用
oracle
retail_predictive_application_server
14.1
-
运行在以下环境
应用
oracle
retail_predictive_application_server
15.0
-
运行在以下环境
应用
oracle
retail_predictive_application_server
16.0
-
运行在以下环境
应用
oracle
service_architecture_leveraging_tuxedo
12.1.3.0.0
-
运行在以下环境
应用
oracle
service_architecture_leveraging_tuxedo
12.2.2.0.0
-
运行在以下环境
应用
oracle
tape_library_acsls
8.4
-
运行在以下环境
应用
oracle
utilities_network_management_system
1.12.0.3
-
运行在以下环境
应用
oracle
weblogic_server
10.3.6.0.0
-
运行在以下环境
应用
oracle
weblogic_server
12.1.3.0.0
-
运行在以下环境
应用
oracle
weblogic_server
12.2.1.3.0
-
运行在以下环境
应用
pivotal_software
spring_framework
*
From
(including)
4.3.0
Up to
(excluding)
4.3.17
运行在以下环境
应用
pivotal_software
spring_framework
*
From
(including)
5.0.0
Up to
(excluding)
5.0.6
运行在以下环境
应用
redhat
openshift
-
-
运行在以下环境
系统
debian_9
libspring-java
*
Up to
(including)
4.3.5-1
运行在以下环境
系统
ubuntu_14.04.6_lts
sam2p
*
Up to
(excluding)
0.49.2-3+deb8u3build0.14.04.1
运行在以下环境
系统
ubuntu_14.04_lts
sam2p
*
Up to
(excluding)
0.49.2-3+deb8u3build0.14.04.1
运行在以下环境
系统
ubuntu_16.04.7_lts
sam2p
*
Up to
(excluding)
0.49.2-3+deb8u3build0.16.04.1
运行在以下环境
系统
ubuntu_16.04_lts
sam2p
*
Up to
(excluding)
0.49.2-3+deb8u3build0.16.04.1
运行在以下环境
系统
ubuntu_18.04.5_lts
libspring-java
*
Up to
(excluding)
4.3.19-1
运行在以下环境
系统
ubuntu_18.04_lts
libspring-java
*
Up to
(excluding)
4.3.19-1
运行在以下环境
系统
ubuntu_18.10
libspring-java
*
Up to
(excluding)
4.3.19-1
查看完整数据
阿里云评分
2.7
攻击路径
远程
攻击复杂度
复杂
权限要求
普通权限
影响范围
有限影响
EXP成熟度
未验证
补丁情况
官方补丁
数据保密性
无影响
数据完整性
无影响
服务器危害
无影响
全网数量
100
CWE-ID
漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
Exp相关链接
×