Spring框架爆安全漏洞
"它允许攻击者注入代码" Jeff Williams这么说, 他是 Aspect Security的CEO, 负责研究发现Spring框架在“语言表达expression language”方面的弱点。
Aspect Security 已经提交Spring开源社区解决这个问题,但是这种“remote code with expression-language injection”似乎不是那么容易真正解决,为了避免风险,建议程序员关闭expression-language功能。
Spring也将在下个版本缺省失效语言表达功能,如果一旦被攻击者利用,能够完全控制整个Web应用并且能够运行攻击者自己的代码。