Spring被爆漏洞，允許遠程執行代碼

　　安全公司 Aspect Security 今天透露，在 Spring 框架的開發代碼中，發現了一個重大的安全漏洞。 

　　Aspect Security 公司 CEO 杰夫·威廉姆斯（Jeff Williams）表示，該漏洞存在于 Spring 的“表達式語言”功能中，允許攻擊者注入代碼。 

　　Aspect Security 目前已經聯合 Spring 開源社區來解決這一問題，但是到目前為止，還沒有任何快速修復補丁放出。因此，使用 Spring 框架的應用程序可以存在安全隱患，建議開發者關閉表達式語言功能。 

　　威廉姆斯稱，Spring 未來版本中將有可能默認不啟用表達式語言功能，但是，目前存在的這個漏洞，如果被攻擊者利用，可能會對應用程序產生大的威脅。這是非常危險的，攻擊者可以完全接管一個 Web 應用程序，并在服務器上運行他們的代碼。他還指出，該漏洞跟最近披露的瀏覽器 Java 漏洞無任何聯系。 

　　據提供開源組件的中央倉庫 Sonatype 數據顯示，目前已有超過 2.2 萬個機構下載了超過 130 萬次存在安全漏洞的 Spring 框架。 

　　Via infoworld