描述

在 Spring Data REST 3.4.0 - 3.4.13、3.5.0 - 3.5.5 以及更旧的不受支持的版本中，由自定义控制器使用配置的基本 API 路径和控制器类型级别的请求映射实现的 HTTP 资源，还会暴露在 URI 下，这些 URI 可能会因 Spring Security 配置而暴露于未经授权的访问。此漏洞仅适用于满足以下所有要点的项目

• 该项目使用上述声明为有漏洞的版本的 Spring Data REST。
• Spring Data REST 基本路径配置设置为非空字符串。
• 该项目注册一个自定义 Spring MVC 控制器，以自定义 Spring Data REST 的 URI 空间中的 HTTP 资源，并且该控制器使用类型级别的 @RequestMapping 注释；该项目仅保护 Spring Data REST 在基本路径中暴露的路径，但不会对与没有配置基本路径前缀的映射匹配的 URI 应用安全措施。

受影响的 Spring 产品和版本

• Spring Data REST
  • 3.4.0 到 3.4.13
  • 3.5.0 到 3.5.5
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应升级到以下版本之一。无需其他步骤。

• Spring Data REST
  • 3.4.14+ (包含在 Spring Boot 2.4.12+ 中)
  • 3.5.6+ (包含在 Spring Boot 2.5.6+ 中)

致谢

此漏洞最初由 Brian Schrader 发现并负责任地报告。

参考资料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N

历史记录

• 2021-10-26：首次发布漏洞报告。