Spring Data Commons组件远程代码执行漏洞(CVE-2018-1273)

漏洞描述:

2018年4月11日,Spring Data Commons存在远程代码执行漏洞(CVE-2018-1273),攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s projection负载结合的,最终导致远程代码执行攻击。

漏洞定级:

高危

漏洞影响范围:

  1. Spring Data Commons 1.13 - 1.13.10(Ingalls SR10)
  2. Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)
  3. Spring Data Commons 2.0 - 2.0.5 (Kay SR5)
  4. Spring Data REST 3.0 - 3.0.5 (Kay SR5)已不支持的旧版本

漏洞处置建议:

建议使用了Spring相关组件用户关注并及时更新到官方最新版Spring Data Commons组件。

  1. 2.0.x版本用户更新至2.0.61
  2. 13.x版本用户更新至1.13.11
  3. 已不支持的旧版本请更新到官方提供支持的最新版本。
  4. 已经修复的版本:
    • Spring Data REST 2.6.11 (Ingalls SR11)
    • Spring Data REST 3.0.6 (Kay SR6)
    • Spring Boot 1.5.11Spring Boot 2.0.1
相关推荐:
背景信息: 2019年2月20日,有国外安全研究人员披露WordPress存在远程代码执行漏洞,拥有Author发布文章权限的攻击者,可在目标 WordPress站点服务器执行任意PHP代码。 漏洞描述: 由于没有安全检查,文章 …
漏洞描述: Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735。 漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可 …
漏洞描述: 2017年10月2日, 由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-20 …
漏洞描述: 2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 …
漏洞描述: 2018年4月26日,Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全 …
拿起手机扫一扫即可带走我!