描述

在版本 3.6.0 - 3.6.5、3.7.0 - 3.7.2 及更舊的不支援版本中，允許 HTTP PATCH 存取 Spring Data REST 暴露的資源的應用程式，如果攻擊者知道底層網域模型的結構，他們可以製作 HTTP 請求來暴露隱藏的實體屬性。

解決方法：如果 Spring Data REST 暴露的資源不需要支援 HTTP PATCH 請求，您可以按照此處的說明停用該支援。一般來說，已經透過 Spring Data REST、Spring Boot 或透過其執行時基礎架構停用 HTTP PATCH 支援的應用程式也不會受到影響。

受影響的 Spring 產品和版本

• Spring Data REST
  • 3.6.0 至 3.6.6
  • 3.7.0 至 3.7.2
  • 較舊、不受支援的版本也受到影響

缓解措施

受影響版本的用戶應套用以下緩解措施：3.6.x 的用戶應升級到 3.6.7+（包含在 Spring Boot 2.6.12+ 中）。3.7.x 的用戶應升級到 3.7.3+（包含在 Spring Boot 2.7.4+ 中）。不需要其他步驟。已修復此問題的版本包括

• Spring Data REST
  • 3.6.7+
  • 3.7.3+

致謝

此漏洞最初由 白帽酱 @burpheart 發現並負責任地報告。

參考資料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N&version=3.1

歷史紀錄

• 2022-09-19：發布初始漏洞報告。