描述

如果攻擊者知道底層域模型的結構，則允許 HTTP PATCH 訪問 Spring Data REST 公開的資源的版本 3.6.0 - 3.6.5、3.7.0 - 3.7.2 和較舊的不受支援的版本中的應用程式，可以構造 HTTP 請求來公開隱藏的實體屬性。

解決方法：如果 Spring Data REST 公開的資源不需要支援 HTTP PATCH 請求，您可以按照此處所述停用該支援。通常停用 HTTP PATCH 支援的應用程式，無論是透過 Spring Data REST、Spring Boot 的相應配置還是透過其執行時基礎設施，都不會受到影響。

受影響的 Spring 產品和版本

• Spring Data REST
  • 3.6.0 到 3.6.6
  • 3.7.0 到 3.7.2
  • 較舊的、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施：3.6.x 使用者應升級到 3.6.7+（包含在 Spring Boot 2.6.12+ 中）。3.7.x 使用者應升級到 3.7.3+（包含在 Spring Boot 2.7.4+ 中）。無需其他步驟。修復此問題的版本包括

• Spring Data REST
  • 3.6.7+
  • 3.7.3+

鳴謝

此漏洞最初由白帽醬 @burpheart 發現並負責任地報告。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N&version=3.1

歷史

• 2022-09-19：釋出初始漏洞報告。