據外媒 3 月 5 日報導,lgtm.com 的安全研究人員發現 Pivotal 公司Spring Data REST中存在一個嚴重漏洞,能夠允許遠端攻擊者在目標裝置(該裝置執行著使用 Spring Data REST 元件的應用程式)上執行任意命令。
研究人員認為該漏洞與 Apache Struts 中導致 Equifax 資料洩露的漏洞比較相似,並將其追蹤為 CVE- 2017-8046。
根據 Semmle / lgtm 釋出的安全公告顯示,該漏洞與 Spring 表達語言(SpEL)在 Data REST 元件中的使用方式有關,而且缺少對使用者輸入的驗證也是允許攻擊者在執行由 Spring Data REST 構建的應用程式裝置上執行任意命令的很大一部分因素。
目前該漏洞很容易被利用,因為 Spring Data REST 的 RESTful API 通常可公開訪問,所以其中存在的缺陷可能會更輕易地讓駭客控制伺服器和訪問敏感資訊。
受影響的 Spring 產品和元件:
Spring Data REST 元件,2.5.12,2.6.7,3.0RC3 之前的版本
Maven構件:spring-data-rest-core,spring-data-rest-webmvc,spring-data-rest-distribution,spring-data-rest-hal-browser
Spring Boot,2.0.0M4 之前的版本
當使用包含的 Spring Data REST 元件時:spring-boot-starter-data-rest
Spring Data,Kay-RC3 之前的版本
據瞭解,Pivotal 已針對該漏洞釋出了安全補丁,並敦促其使用者更新他們的應用程式。
來源:hackernews