描述

Spring Data Commons 1.13 到 1.13.10、2.0 到 2.0.5 以及更舊的不受支援版本包含一個由於特殊元素未被正確中和而導致的屬性繫結器漏洞。未經身份驗證的遠端惡意使用者（或攻擊者）可以提供專門設計的請求引數來針對由 Spring Data REST 支援的 HTTP 資源，或者使用 Spring Data 基於投影的請求有效負載繫結，這可能導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更舊的不受支援版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 2.0.x 使用者應升級到 2.0.6
• 1.13.x 使用者應升級到 1.13.11
• 舊版本應升級到受支援的分支

已修復此問題的版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

沒有其他必要的緩解步驟。

請注意，對端點使用身份驗證和授權（這兩者都由 Spring Security 提供）會將此漏洞的暴露限制在經過授權的使用者範圍內。

鳴謝

此問題由 GoSecure Inc. 的 Philippe Arteau 負責任地識別和報告。

參考

• https://jira.spring.io/browse/DATACMNS-1282
• https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
• https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
• https://docs.springframework.tw/spring-data/jpa/docs/current/reference/html/#core.web.binding

歷史

2018-04-10：釋出初始漏洞報告

• 2018-04-17：更新了已修復該問題的版本列表