Spring Data Commons组件远程代码执行漏洞(CVE-2018-1273)

漏洞描述:

2018年4月11日,Spring Data Commons存在远程代码执行漏洞(CVE-2018-1273),攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s projection负载结合的,最终导致远程代码执行攻击。

漏洞定级:

高危

漏洞影响范围:

  1. Spring Data Commons 1.13 - 1.13.10(Ingalls SR10)
  2. Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)
  3. Spring Data Commons 2.0 - 2.0.5 (Kay SR5)
  4. Spring Data REST 3.0 - 3.0.5 (Kay SR5)已不支持的旧版本

漏洞处置建议:

建议使用了Spring相关组件用户关注并及时更新到官方最新版Spring Data Commons组件。

  1. 2.0.x版本用户更新至2.0.61
  2. 13.x版本用户更新至1.13.11
  3. 已不支持的旧版本请更新到官方提供支持的最新版本。
  4. 已经修复的版本:
    • Spring Data REST 2.6.11 (Ingalls SR11)
    • Spring Data REST 3.0.6 (Kay SR6)
    • Spring Boot 1.5.11Spring Boot 2.0.1

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
相关推荐:
Drupal内核远程代码执行漏洞(CVE-2018-7602)
漏洞描述: 2018年4月26日,Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 漏 …
Drupal内核远程代码执行漏洞(CVE-2018-7600)
漏洞描述: 2018年3月29日,Drupal官方发布新补丁和安全公告,宣称Drupal 6.x,7.x,8.x等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞执行代码,导致网站被完全控制。 漏洞定级: 高危 漏洞影响 …
Gitlab Wiki API 远程代码执行漏洞(CVE-2018-18649)
背景信息: Gitlab Wiki API 是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口。 漏洞描述: 该API在处理外部输入时未做有效过滤,导致攻击者构造特定的恶意请求,可以在目标服务器上执行任意 …
NetSarang的Xmanager和Xshell多种产品被植入后门风险预警
漏洞描述: 国外著名的远程管理软件公司NetSarang旗下多款客户端连接软件产品(Xmanager、Xshell、Xftp 和 Xlpd)被曝植入后门,存在敏感信息数据泄露风险。 漏洞定级: 高危 漏洞影响范围: 受影响版本:Xmanager Ente …
Confluence 最新远程命令执行高危漏洞(CVE-2019-3398)
背景信息: 2019年4月18日,Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在downloadallattachments 资源中存在目录穿越漏洞(CVE-2019-3398),远程攻击者可以利用此漏洞将WebShe …
拿起手机扫一扫即可带走我!