描述

如果攻击者了解底层领域模型的结构，则在 3.6.0 - 3.6.5、3.7.0 - 3.7.2 和旧版不受支持的版本中，允许对 Spring Data REST 暴露的资源进行 HTTP PATCH 访问的应用程序可能会构造 HTTP 请求来暴露隐藏的实体属性。

解决方法：如果 Spring Data REST 暴露的资源不需要支持 HTTP PATCH 请求，则可以如此所述禁用该支持。通常已禁用 HTTP PATCH 支持的应用程序（无论是通过 Spring Data REST、Spring Boot 的相应配置，还是通过其运行时基础设施）都不会受到影响。

受影响的 Spring 产品和版本

• Spring Data REST
  • 3.6.0 到 3.6.6
  • 3.7.0 到 3.7.2
  • 旧版不受支持的版本也受影响

缓解措施

受影响版本的使用者应应用以下缓解措施：3.6.x 用户应升级到 3.6.7+（包含在 Spring Boot 2.6.12+ 中）。3.7.x 用户应升级到 3.7.3+（包含在 Spring Boot 2.7.4+ 中）。无需执行其他步骤。已修复此问题的版本包括

• Spring Data REST
  • 3.6.7+
  • 3.7.3+

致谢

此漏洞最初由白帽酱 @burpheart 发现并负责任地报告。

参考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N&version=3.1

历史

• 2022-09-19：发布初始漏洞报告。