描述

这影响了 Spring Data JPA 2.1.5 及之前版本、2.0.13 及之前版本和 1.11.19 及之前版本。当提供恶意制作的查询参数值时，使用任何谓词“startingWith”、“endingWith”或“containing”的派生查询可能会返回超出预期的结果。此外，如果绑定的参数值没有正确地转义保留字符，则手动定义的查询中的 LIKE 表达式可能会返回意外的结果。

受影响的 Spring 产品和版本

• Spring Data JPA 2.0 至 2.0.13
• Spring Data JPA 2.1 至 2.1.5
• Spring Data JPA 1.11 至 1.11.19
• 较旧的不受支持版本也受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施

• 2.1.x 用户应升级到 2.1.6（包含在Spring Boot 2.1.4中）
• 2.0.x 用户应升级到 2.0.14（包含在Spring Boot 2.0.9中）
• 1.11.x 用户应升级到 1.11.20（包含在Spring Boot 1.5.20中）
• 较旧版本应升级到受支持的分支
• 没有其他必要的缓解步骤。请注意，使用当前版本，Spring Data 和 Spring Boot 的 2.0 分支已达到生命周期结束，我们强烈建议升级。

致谢

此问题由 Maruthi Adithya G 识别并负责任地报告。