描述

Spring Data Commons 1.13 到 1.13.10、2.0 到 2.0.5，以及較舊且不受支援的版本，由於對特殊元素的處理不當，包含屬性繫結漏洞。未經身份驗證的遠端惡意使用者（或攻擊者）可以針對由 Spring Data REST 支援的 HTTP 資源，或使用 Spring Data 基於投射 (projection) 的請求酬載繫結，提供精心設計的請求參數，進而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 較舊且不受支援的版本也受到影響

緩解措施

受影響版本的用戶應採用以下緩解措施

• 2.0.x 用戶應升級到 2.0.6
• 1.13.x 用戶應升級到 1.13.11
• 較舊版本應升級到受支援的分支

已修復此問題的版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

沒有其他必要的緩解步驟。

請注意，使用端點的身份驗證和授權（Spring Security 都提供），將此漏洞的暴露範圍限制於授權用戶。

鳴謝

此問題由 GoSecure Inc. 的 Philippe Arteau 識別並負責地回報。

參考資料

• https://jira.spring.io/browse/DATACMNS-1282
• https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
• https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
• https://spring-docs.dev.org.tw/spring-data/jpa/docs/current/reference/html/#core.web.binding

歷史記錄

2018-04-10：發布初始漏洞報告

• 2018-04-17：更新修復此問題的版本列表