2018年4月10日, 流行的JAVA开发框架Spring Data Commons多个版本存在远程代码执行漏洞信息。漏洞等级高危,其中影响的版本包括1.13至1.13.10,2.0至2.5,以及旧版本不受支持的程序。未经验证的远程攻击者可以针对Spring Data REST的支持的HTTP资源构造特定的请求参数,从而执行远程代码,提升权限。白帽汇安全研究院提醒大家尽快升级修复,以免造成不必要的影响。
Spring Data 项目的目的是为了简化构建基于 Spring 框架应用的数据访问计数,包括非关系数据库、Map-Reduce 框架、云数据服务等等;另外也包含对关系数据库的访问支持。其中Commons提供共享的基础框架,适合各个子项目使用,支持跨数据库持久化。
漏洞原理与危害
远程攻击者可以构造任意参数来攻击Spring Data REST支持的http资源或者Spring Data的projection-based请求绑定来达到远程攻击的目的。
漏洞影响
目前受影响的版本包括: Spring Data Commons 1.13至1.13.10(Ingalls SR10) Spring Data REST 2.6到2.6.10(Ingalls SR10) Spring Data Commons 2.0至2.0.5(Kay SR5) Spring Data REST 3.0到3.0.5(Kay SR5) 较旧的不受支持的版本也受到影响
漏洞POC
FOFA正在收集此PoC,相关利用可通过FOFA 客户端提交PoC,获取PoC奖励。
CVE编号
CVE-2018-1273
修复建议
- 受影响版本的用户应该应用以下缓解措施:
- 2.0.x用户应该升级到2.0.6
- 1.13.x用户应该升级到1.13.11
- 旧版本应升级到受支持的分支
已解决此问题的发布版本包括:
- Spring Data REST 2.6.11(Ingalls SR11)
- Spring Data REST 3.0.6(Kay SR6)
- Spring Boot 1.5.11
- Spring Boot 2.0.1
- 使用Spring Security提供的身份验证和授权,限定特定访问。
白帽汇会持续对该漏洞进行跟进。后续可以关注本连接。
参考
[1] https://pivotal.io/security/cve-2018-1273
[2] https://jira.spring.io/browse/DATACMNS-1282
[5] https://docs.spring.io/spring-data/jpa/docs/current/reference/html/#core.web.binding
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。