描述

对于允许通过 Spring Data REST 访问版本 3.6.0 - 3.6.5、3.7.0 - 3.7.2 以及不受支持的旧版本中暴露的资源的应用程序，如果攻击者了解底层域模型的结构，他们可以精心构造 HTTP 请求，从而暴露隐藏的实体属性。

变通方法：如果 Spring Data REST 暴露的资源不需要支持 HTTP PATCH 请求，您可以按照此处所述禁用该支持。通过 Spring Data REST、Spring Boot 的相应配置或通过其运行时基础设施普遍禁用 HTTP PATCH 支持的应用程序也不受影响。

受影响的 Spring 产品和版本

• Spring Data REST
  • 3.6.0 至 3.6.6
  • 3.7.0 至 3.7.2
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施：3.6.x 用户应升级到 3.6.7+（包含在 Spring Boot 2.6.12+ 中）。3.7.x 用户应升级到 3.7.3+（包含在 Spring Boot 2.7.4+ 中）。无需其他步骤。已修复此问题的版本包括

• Spring Data REST
  • 3.6.7+
  • 3.7.3+

致谢

此漏洞最初由白帽酱 @burpheart 发现并负责任地报告。

参考资料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N&version=3.1

历史

• 2022-09-19：最初的漏洞报告发布。