Spring Data REST存严重漏洞 允许远程攻击者执行任意命令

      据外媒 3 月 5 日报道，lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞，能够允许远程攻击者在目标设备（该设备运行着使用 Spring Data REST 组件的应用程序）上执行任意命令。

      研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似，并将其追踪为 CVE- 2017-8046。

      根据 Semmle / lgtm 发布的安全公告显示，该漏洞与 Spring 表达语言（SpEL）在 Data REST 组件中的使用方式有关，而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。

      目前该漏洞很容易被利用，因为 Spring Data REST 的 RESTful API 通常可公开访问，所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。

      受影响的 Spring 产品和组件：

Spring Data REST 组件，2.5.12,2.6.7,3.0RC3 之前的版本

Maven构件：spring-data-rest-core，spring-data-rest-webmvc，spring-data-rest-distribution，spring-data-rest-hal-browser

Spring Boot，2.0.0M4 之前的版本

当使用包含的 Spring Data REST 组件时：spring-boot-starter-data-rest

Spring Data，Kay-RC3 之前的版本

      据了解，Pivotal 已针对该漏洞发布了安全补丁，并敦促其用户更新他们的应用程序。

消息来源：Security Affairs

转自 HackerNews.cc

标签： 安全 服务器 漏洞 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。