描述

如果攻击者知道底层域模型的结构，则允许 HTTP PATCH 访问 Spring Data REST 公开的资源的版本 3.6.0 - 3.6.5、3.7.0 - 3.7.2 和较旧的不受支持的版本中的应用程序，可以构造 HTTP 请求来公开隐藏的实体属性。

解决方法：如果 Spring Data REST 公开的资源不需要支持 HTTP PATCH 请求，您可以按照此处所述禁用该支持。通常禁用 HTTP PATCH 支持的应用程序，无论是通过 Spring Data REST、Spring Boot 的相应配置还是通过其运行时基础设施，都不会受到影响。

受影响的 Spring 产品和版本

• Spring Data REST
  • 3.6.0 到 3.6.6
  • 3.7.0 到 3.7.2
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施：3.6.x 用户应升级到 3.6.7+（包含在 Spring Boot 2.6.12+ 中）。3.7.x 用户应升级到 3.7.3+（包含在 Spring Boot 2.7.4+ 中）。无需其他步骤。修复此问题的版本包括

• Spring Data REST
  • 3.6.7+
  • 3.7.3+

鸣谢

此漏洞最初由白帽酱 @burpheart 发现并负责任地报告。

参考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N&version=3.1

历史

• 2022-09-19：发布初始漏洞报告。