描述

在 Spring Data REST 3.4.0 - 3.4.13、3.5.0 - 3.5.5 和更旧的已不受支持的版本中，通过使用配置的基础 API 路径和控制器类型级请求映射的自定义控制器实现的 HTTP 资源还会在 URI 下公开，具体取决于 Spring Security 配置，这些 URI 可能会被公开以供未经授权的访问。此漏洞仅适用于以下所有要点都为真的项目

• 该项目在上述某个易受攻击的版本中使用 Spring Data REST。
• Spring Data REST 基路径配置设置为非空字符串。
• 该项目注册了一个自定义 Spring MVC 控制器来自定义 Spring Data REST URI 空间中的 HTTP 资源，并且该控制器使用类型级 @RequestMapping 注解；该项目仅保护 Spring Data REST 在基路径中公开的路径，但不将安全措施应用于与不带配置的基路径前缀的映射匹配的 URI。

受影响的 Spring 产品和版本

• Spring Data REST
  • 3.4.0 到 3.4.13
  • 3.5.0 到 3.5.5
  • 更旧的、不受支持的版本也受到影响

缓解措施

受影响版本的使用者应升级到以下版本之一。无需执行其他步骤。

• Spring Data REST
  • 3.4.14+（包含在 Spring Boot 2.4.12+ 中）
  • 3.5.6+（包含在 Spring Boot 2.5.6+ 中）

鸣谢

此漏洞最初由 Brian Schrader 发现并负责任地报告。

参考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N

历史

• 2021-10-26：发布初始漏洞报告。