【漏洞预警】CVE-2018-1273 Spring Data Commons 远程代码执行漏洞

2018年4月10日， 流行的JAVA开发框架Spring Data Commons多个版本存在远程代码执行漏洞信息。漏洞等级高危，其中影响的版本包括1.13至1.13.10，2.0至2.5，以及旧版本不受支持的程序。未经验证的远程攻击者可以针对Spring Data REST的支持的HTTP资源构造特定的请求参数，从而执行远程代码，提升权限。白帽汇安全研究院提醒大家尽快升级修复，以免造成不必要的影响。

Spring Data 项目的目的是为了简化构建基于 Spring 框架应用的数据访问计数，包括非关系数据库、Map-Reduce 框架、云数据服务等等；另外也包含对关系数据库的访问支持。其中Commons提供共享的基础框架，适合各个子项目使用，支持跨数据库持久化。

漏洞原理与危害

远程攻击者可以构造任意参数来攻击Spring Data REST支持的http资源或者Spring Data的projection-based请求绑定来达到远程攻击的目的。

漏洞影响

目前受影响的版本包括： Spring Data Commons 1.13至1.13.10（Ingalls SR10） Spring Data REST 2.6到2.6.10（Ingalls SR10） Spring Data Commons 2.0至2.0.5（Kay SR5） Spring Data REST 3.0到3.0.5（Kay SR5） 较旧的不受支持的版本也受到影响

漏洞POC

FOFA正在收集此PoC，相关利用可通过FOFA 客户端提交PoC，获取PoC奖励。

CVE编号

CVE-2018-1273

修复建议

1. 受影响版本的用户应该应用以下缓解措施：

• 2.0.x用户应该升级到2.0.6
• 1.13.x用户应该升级到1.13.11
• 旧版本应升级到受支持的分支

已解决此问题的发布版本包括：

• Spring Data REST 2.6.11（Ingalls SR11）
• Spring Data REST 3.0.6（Kay SR6）
• Spring Boot 1.5.11
• Spring Boot 2.0.1

1. 使用Spring Security提供的身份验证和授权，限定特定访问。

白帽汇会持续对该漏洞进行跟进。后续可以关注本连接。

参考

[1] https://pivotal.io/security/cve-2018-1273

[2] https://jira.spring.io/browse/DATACMNS-1282

[3] https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a

[4] https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653

[5] https://docs.spring.io/spring-data/jpa/docs/current/reference/html/#core.web.binding

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。