描述

Spring Data Commons 1.13 到 1.13.10、2.0 到 2.0.5 以及更旧的不受支持版本包含一个由于特殊元素未被正确中和而导致的属性绑定器漏洞。未经身份验证的远程恶意用户（或攻击者）可以提供专门设计的请求参数来针对由 Spring Data REST 支持的 HTTP 资源，或者使用 Spring Data 基于投影的请求有效负载绑定，这可能导致远程代码执行攻击。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更旧的不受支持版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 2.0.x 用户应升级到 2.0.6
• 1.13.x 用户应升级到 1.13.11
• 旧版本应升级到受支持的分支

已修复此问题的版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

没有其他必要的缓解步骤。

请注意，对端点使用身份验证和授权（这两者都由 Spring Security 提供）会将此漏洞的暴露限制在经过授权的用户范围内。

鸣谢

此问题由 GoSecure Inc. 的 Philippe Arteau 负责任地识别和报告。

参考

• https://jira.spring.io/browse/DATACMNS-1282
• https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
• https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
• https://docs.springframework.org.cn/spring-data/jpa/docs/current/reference/html/#core.web.binding

历史

2018-04-10：发布初始漏洞报告

• 2018-04-17：更新了已修复该问题的版本列表