Spring Data REST 存在严重漏洞 允许远程攻击者执行任意命令

据外媒 3 月 5 日报道，lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞，能够允许远程攻击者在目标设备（该设备运行着使用 Spring Data REST 组件的应用程序）上执行任意命令。

  研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似，并将其追踪为 CVE- 2017-8046。

  根据 Semmle / lgtm 发布的安全公告显示，该漏洞与 Spring 表达语言（SpEL）在 Data REST 组件中的使用方式有关，而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。

  目前该漏洞很容易被利用，因为 Spring Data REST 的 RESTful API 通常可公开访问，所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。

  受影响的 Spring 产品和组件：

  Spring Data REST 组件，2.5.12,2.6.7,3.0RC3 之前的版本

  Maven构件：spring-data-rest-core，spring-data-rest-webmvc，spring-data-rest-distribution，spring-data-rest-hal-browser

  Spring Boot，2.0.0M4 之前的版本

  当使用包含的 Spring Data REST 组件时：spring-boot-starter-data-rest

  Spring Data，Kay-RC3 之前的版本

  据了解，Pivotal 已针对该漏洞发布了安全补丁，并敦促其用户更新他们的应用程序。