Recientemente la empresa Ounce ha descubierto dos vulnerabilidades bastante serias en Spring framework. La primera se basa en el funcionamiento indebido del mecanismo de binding entre modelo y vista. Cuando los datos se obtienen del formulario de la vista no hay ninguna comprobación para garantizar que el usuario no haya añadido campos extra al formulario. Añadiendo campos extra con el nombre adecuado, es posible sobrescribir campos del modelo (por ejemplo, el identificador del cliente) que el programador nunca pretendió que fuesen editables.

Esta vulnerabilidad puede permitir, por ejemplo que un usuario tome control de la cuenta de otro usuario.

La segunda vulnerabilidad explota el hecho de que la lógica que se va a llamar desde un formulario viene definida por un campo culto de dicho formulario. Modificando dicho campo oculto es posible obtener de vuelta archivos a los cuales los usuarios nunca deberían tener acceso. Esta vulnerabilidad puede permitir al atacante obtener todo el código de la aplicación.