描述

使用 Spring Data REST 支持的 HTTP 资源的服务器，如果接收到恶意构造的 PATCH 请求，可以通过精心设计的 JSON 数据执行任意 Java 代码。

受影响的 Spring 产品和版本

• Spring Data REST 版本低于 2.6.9 (Ingalls SR9)、3.0.1 (Kay SR1)
• Spring Boot（如果使用了 Spring Data REST 模块）版本低于 1.5.9、2.0 M6

缓解措施

受影响版本的用户应采取以下缓解措施

• 已修复此问题的发布版本包括
  • Spring Data REST 2.6.9 (Ingalls SR9, 2017 年 10 月 27 日)
  • Spring Data REST 3.0.1 (Kay SR1, 2017 年 10 月 27 日)
  • Spring Boot 1.5.9 (2017 年 10 月 28 日)
  • Spring Boot 2.0 M6 (2017 年 11 月 6 日)

致谢

此漏洞由 Semmle 和 lgtm.com 的 Man Yue Mo 负责任地报告。

参考资料

• https://jira.spring.io/browse/DATAREST-1127
• https://jira.spring.io/browse/DATAREST-1152

历史

2017-09-21：首次发布漏洞报告

• 2018-03-06：修正了受影响和已修复的版本