您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
服务热线
400-1000-221
在线咨询
点击联系客服
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
其他需求
*验证码
{{message}}
试用申请
Spring Data REST 存在严重漏洞 允许远程攻击者执行任意命令

据外媒 3 月 5 日报道,lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞,能够允许远程攻击者在目标设备(该设备运行着使用 Spring Data REST 组件的应用程序)上执行任意命令。

  研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似,并将其追踪为 CVE- 2017-8046。

  根据 Semmle / lgtm 发布的安全公告显示,该漏洞与 Spring 表达语言(SpEL)在 Data REST 组件中的使用方式有关,而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。

  目前该漏洞很容易被利用,因为 Spring Data REST 的 RESTful API 通常可公开访问,所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。

  受影响的 Spring 产品和组件:

  Spring Data REST 组件,2.5.12,2.6.7,3.0RC3 之前的版本

  Maven构件:spring-data-rest-core,spring-data-rest-webmvc,spring-data-rest-distribution,spring-data-rest-hal-browser

  Spring Boot,2.0.0M4 之前的版本

  当使用包含的 Spring Data REST 组件时:spring-boot-starter-data-rest

  Spring Data,Kay-RC3 之前的版本

  据了解,Pivotal 已针对该漏洞发布了安全补丁,并敦促其用户更新他们的应用程序。