描述

提交給使用 Spring Data REST 支援的 HTTP 資源的伺服器的惡意 PATCH 請求可以使用專門製作的 JSON 資料來執行任意 Java 程式碼。

受影響的 Spring 產品和版本

• Spring Data REST 版本低於 2.6.9 (Ingalls SR9)，3.0.1 (Kay SR1)
• Spring Boot（如果使用了 Spring Data REST 模組）版本低於 1.5.9, 2.0 M6

緩解措施

受影響版本的使用者應採取以下緩解措施

• 已修復此問題的版本包括
  • Spring Data REST 2.6.9 (Ingalls SR9, 2017 年 10 月 27 日)
  • Spring Data REST 3.0.1 (Kay SR1, 2017 年 10 月 27 日)
  • Spring Boot 1.5.9 (2017 年 10 月 28 日)
  • Spring Boot 2.0 M6 (2017 年 11 月 6 日)

鳴謝

此漏洞由 Semmle 的 Man Yue Mo 和 lgtm.com 負責任地報告。

參考資料

• https://jira.spring.io/browse/DATAREST-1127
• https://jira.spring.io/browse/DATAREST-1152

歷史記錄

2017-09-21：釋出初始漏洞報告

• 2018-03-06：更正了受影響的版本和修復的版本