Spring Web Flow 远程代码执行漏洞 – 绿盟科技技术博客

【威胁通告】Spring Web Flow 远程代码执行漏洞(CVE-2017-4971)

2017-06-12绿盟科技CNNVD-201706-147, CVE-2017-4971, Spring Web Flow 漏洞, Spring Web Flow 远程代码执行漏洞, Spring 漏洞, 绿盟科技

近日， Spring Web Flow发布了更新补丁修复了一个Spring Web Flow 在数据绑定上存在的一个漏洞（CVE-2017-4971, CNNVD-201706-147）。该漏洞源于在Model的数据绑定上没有指定相关model的具体属性，从而导致恶意的表达式可以通过表单提交并且被执行，导致远程代码执行。