当前位置:主页>资 讯>安全动态>

Spring Data REST 存在严重漏洞,允许远程攻击者执行任意命令

据外媒 3 月 5 日报道,lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞,能够允许远程攻击者在目标设备(该设备运行着使用 Spring Data REST 组件的应用程序)上执行任意命令。

研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似,并将其追踪为 CVE- 2017-8046。

根据 Semmle / lgtm 发布的安全公告显示,该漏洞与 Spring 表达语言(SpEL)在 Data REST 组件中的使用方式有关,而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。

目前该漏洞很容易被利用,因为 Spring Data REST 的 RESTful API 通常可公开访问,所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。

受影响的 Spring 产品和组件:

Spring Data REST 组件,2.5.12,2.6.7,3.0RC3 之前的版本

Maven构件:spring-data-rest-core,spring-data-rest-webmvc,spring-data-rest-distribution,spring-data-rest-hal-browser

Spring Boot,2.0.0M4 之前的版本

当使用包含的 Spring Data REST 组件时:spring-boot-starter-data-rest

Spring Data,Kay-RC3 之前的版本

据了解,Pivotal 已针对该漏洞发布了安全补丁,并敦促其用户更新他们的应用程序。

(责任编辑:冬天的宇)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

恶意软件 ComboJack 可监控 Windows 剪贴板

恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

外媒 3 月6 日消息,Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的...[详细]

Spring Data REST 存在严重漏洞,允许远程

Spring Data REST 存在严重漏洞,允许远程攻击者执行任意命令

据外媒 3 月 5 日报道,lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST ...[详细]

Android 三月安全补丁上线:共计修复 37 处

Android 三月安全补丁上线:共计修复 37 处高危漏洞

面向 Pixel 和 Nexus 设备(尚处于支持状态),在最新发布的 2018 年 3 月 Android 安...[详细]

2700 万能源智能电表存在安全漏洞,英国情

2700 万能源智能电表存在安全漏洞,英国情报机构 GCHQ 发布物联网安全预警

外媒 3 月 4 日消息,英国情报机构政府通信总部 GCHQ 发现安装在 2700 万个家庭中的新...[详细]

Spectre 衍生漏洞危及英特尔 SGX 安全区

Spectre 衍生漏洞危及英特尔 SGX 安全区

今年早些时候全面曝光的 Spectre 和 Meltdown 处理器安全漏洞,让整个计算机行业面临...[详细]

返回首页 返回顶部