描述

提交给使用 Spring Data REST 支持的 HTTP 资源的服务器的恶意 PATCH 请求可以使用专门制作的 JSON 数据来运行任意 Java 代码。

受影响的 Spring 产品和版本

• Spring Data REST 版本低于 2.6.9 (Ingalls SR9)，3.0.1 (Kay SR1)
• Spring Boot（如果使用了 Spring Data REST 模块）版本低于 1.5.9, 2.0 M6

缓解措施

受影响版本的用户应采取以下缓解措施

• 已修复此问题的版本包括
  • Spring Data REST 2.6.9 (Ingalls SR9, 2017 年 10 月 27 日)
  • Spring Data REST 3.0.1 (Kay SR1, 2017 年 10 月 27 日)
  • Spring Boot 1.5.9 (2017 年 10 月 28 日)
  • Spring Boot 2.0 M6 (2017 年 11 月 6 日)

鸣谢

此漏洞由 Semmle 的 Man Yue Mo 和 lgtm.com 负责任地报告。

参考资料

• https://jira.spring.io/browse/DATAREST-1127
• https://jira.spring.io/browse/DATAREST-1152

历史记录

2017-09-21：发布初始漏洞报告

• 2018-03-06：更正了受影响的版本和修复的版本