【漏洞预警】CVE-2018-1273 Spring Data Commons 远程代码执行漏洞

BaCde  2368天前

76859744af355f722e9ccb9aece74c2a_1200x500[1].jpg

2018年4月10日, 流行的JAVA开发框架Spring Data Commons多个版本存在远程代码执行漏洞信息。漏洞等级高危,其中影响的版本包括1.13至1.13.10,2.0至2.5,以及旧版本不受支持的程序。未经验证的远程攻击者可以针对Spring Data REST的支持的HTTP资源构造特定的请求参数,从而执行远程代码,提升权限。白帽汇安全研究院提醒大家尽快升级修复,以免造成不必要的影响。

Spring Data 项目的目的是为了简化构建基于 Spring 框架应用的数据访问计数,包括非关系数据库、Map-Reduce 框架、云数据服务等等;另外也包含对关系数据库的访问支持。其中Commons提供共享的基础框架,适合各个子项目使用,支持跨数据库持久化。

漏洞原理与危害

远程攻击者可以构造任意参数来攻击Spring Data REST支持的http资源或者Spring Data的projection-based请求绑定来达到远程攻击的目的。

漏洞影响

目前受影响的版本包括: Spring Data Commons 1.13至1.13.10(Ingalls SR10) Spring Data REST 2.6到2.6.10(Ingalls SR10) Spring Data Commons 2.0至2.0.5(Kay SR5) Spring Data REST 3.0到3.0.5(Kay SR5) 较旧的不受支持的版本也受到影响

漏洞POC

FOFA正在收集此PoC,相关利用可通过FOFA 客户端提交PoC,获取PoC奖励。

CVE编号

CVE-2018-1273

修复建议

  1. 受影响版本的用户应该应用以下缓解措施:
  • 2.0.x用户应该升级到2.0.6
  • 1.13.x用户应该升级到1.13.11
  • 旧版本应升级到受支持的分支

已解决此问题的发布版本包括:

  • Spring Data REST 2.6.11(Ingalls SR11)
  • Spring Data REST 3.0.6(Kay SR6)
  • Spring Boot 1.5.11
  • Spring Boot 2.0.1
  1. 使用Spring Security提供的身份验证和授权,限定特定访问。

白帽汇会持续对该漏洞进行跟进。后续可以关注本连接。

参考

[1] https://pivotal.io/security/cve-2018-1273

[2] https://jira.spring.io/browse/DATACMNS-1282

[3] https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a

[4] https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653

[5] https://docs.spring.io/spring-data/jpa/docs/current/reference/html/#core.web.binding

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论