Spring被爆漏洞，允许远程执行代码

　　安全公司 Aspect Security 今天透露，在 Spring 框架的开发代码中，发现了一个重大的安全漏洞。 

　　Aspect Security 公司 CEO 杰夫·威廉姆斯（Jeff Williams）表示，该漏洞存在于 Spring 的“表达式语言”功能中，允许攻击者注入代码。 

　　Aspect Security 目前已经联合 Spring 开源社区来解决这一问题，但是到目前为止，还没有任何快速修复补丁放出。因此，使用 Spring 框架的应用程序可以存在安全隐患，建议开发者关闭表达式语言功能。 

　　威廉姆斯称，Spring 未来版本中将有可能默认不启用表达式语言功能，但是，目前存在的这个漏洞，如果被攻击者利用，可能会对应用程序产生大的威胁。这是非常危险的，攻击者可以完全接管一个 Web 应用程序，并在服务器上运行他们的代码。他还指出，该漏洞跟最近披露的浏览器 Java 漏洞无任何联系。 

　　据提供开源组件的中央仓库 Sonatype 数据显示，目前已有超过 2.2 万个机构下载了超过 130 万次存在安全漏洞的 Spring 框架。 

　　Via infoworld