Spring 安全公告

所有公告

CVE-2017-8046:Spring Data REST 中 PATCH 请求的远程代码执行漏洞

严重 | 2017年9月21日 | CVE-2017-8046

描述

提交到使用 Spring Data REST 支持的 HTTP 资源的服务器上的恶意 PATCH 请求可以利用精心构造的 JSON 数据来执行任意 Java 代码。

受影响的 Spring 产品和版本

  • Spring Data REST 版本低于 2.6.9(Ingalls SR9)和 3.0.1(Kay SR1)
  • Spring Boot(如果使用了 Spring Data REST 模块)版本低于 1.5.9 和 2.0 M6

缓解措施

受影响版本的使用者应该应用以下缓解措施

  • 已修复此问题的版本包括:
    • Spring Data REST 2.6.9(Ingalls SR9,2017年10月27日)
    • Spring Data REST 3.0.1(Kay SR1,2017年10月27日)
    • Spring Boot 1.5.9(2017年10月28日)
    • Spring Boot 2.0 M6(2017年11月6日)

鸣谢

此漏洞由来自 Semmle 和 lgtm.com 的莫曼悦负责报告。

参考

历史

2017-09-21:发布初始漏洞报告

  • 2018-03-06:更正受影响版本和已修复版本

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获取支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部