4月5日,Pivotal发布了SpringFramework存在多个安全漏洞的公告:CVE-2018-1270漏洞:SpringFramework的4.3.*版本以及不再支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,建议尽快更新到新的版本。CVE-2018-1271漏洞:SpringFramework的4.3.*版本以及不再支持的旧版本,SpringMVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录