描述

在 Spring Data REST 3.4.0 - 3.4.13、3.5.0 - 3.5.5 以及更舊的不受支援的版本中，由自定義控制器使用配置的基本 API 路徑和控制器型別級別的請求對映實現的 HTTP 資源，還會暴露在 URI 下，這些 URI 可能會因 Spring Security 配置而暴露於未經授權的訪問。此漏洞僅適用於滿足以下所有要點的專案

• 該專案使用上述宣告為有漏洞的版本的 Spring Data REST。
• Spring Data REST 基本路徑配置設定為非空字串。
• 該專案註冊一個自定義 Spring MVC 控制器，以自定義 Spring Data REST 的 URI 空間中的 HTTP 資源，並且該控制器使用型別級別的 @RequestMapping 註釋；該專案僅保護 Spring Data REST 在基本路徑中暴露的路徑，但不會對與沒有配置基本路徑字首的對映匹配的 URI 應用安全措施。

受影響的 Spring 產品和版本

• Spring Data REST
  • 3.4.0 到 3.4.13
  • 3.5.0 到 3.5.5
  • 較舊的、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應升級到以下版本之一。無需其他步驟。

• Spring Data REST
  • 3.4.14+ (包含在 Spring Boot 2.4.12+ 中)
  • 3.5.6+ (包含在 Spring Boot 2.5.6+ 中)

致謝

此漏洞最初由 Brian Schrader 發現並負責任地報告。

參考資料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N

歷史記錄

• 2021-10-26：首次釋出漏洞報告。