描述

提交到使用 Spring Data REST 支持的 HTTP 資源伺服器的惡意 PATCH 請求可以使用特製的 JSON 數據來執行任意 Java 代碼。

受影響的 Spring 產品和版本

• Spring Data REST 版本低於 2.6.9 (Ingalls SR9), 3.0.1 (Kay SR1)
• Spring Boot (如果使用了 Spring Data REST 模組) 版本低於 1.5.9, 2.0 M6

緩解措施

受影響版本的用戶應採用以下緩解措施

• 已修復此問題的版本包括
  • Spring Data REST 2.6.9 (Ingalls SR9, 2017 年 10 月 27 日)
  • Spring Data REST 3.0.1 (Kay SR1, 2017 年 10 月 27 日)
  • Spring Boot 1.5.9 (2017 年 10 月 28 日)
  • Spring Boot 2.0 M6 (2017 年 11 月 6 日)

致謝

此漏洞由 Semmle 的 Man Yue Mo 和 lgtm.com 負責地報告。

參考資料

• https://jira.spring.io/browse/DATAREST-1127
• https://jira.spring.io/browse/DATAREST-1152

歷史記錄

2017-09-21：首次發布漏洞報告

• 2018-03-06：更正受影響和已修復的版本