2017年9月21日,流行的Java框架spring被发现一个高危漏洞,漏洞CVE编号为CVE-2017-8046。黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险。
漏洞详情见下文。
漏洞编号
CVE-2017-8046
漏洞名称
Java Spring Data REST远程代码执行漏洞
官方评级
高危
漏洞描述
恶意攻击者使用精心构造的JSON数据包,向spring-data-rest服务器提交恶意PATCH请求,可以执行任意的Java代码。
漏洞利用条件和方式
网站使用Spring Data REST提供REST Web服务,且版本在受影响范围内。
漏洞影响范围
- Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本
- Spring Boot 2.0.0M4之前的版本
- Spring Data release trains Kay-RC3之前的版本
漏洞检测
开发人员检查使用的Spring框架是否在受影响版本范围内。
漏洞修复建议(或缓解措施)
升级到以下最新版本:
- Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
- Spring Boot 2.0.0.M4
- Spring Data release train Kay-RC3
情报来源
[1]. https://pivotal.io/security/cve-2017-8046
[2]. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45
[3]. http://projects.spring.io/spring-data-rest/