开发者社区> 问答> 正文

CVE-2017-8046:Spring Data REST远程代码执行漏洞


2017年9月21日,流行的Java框架spring被爆出一个高位漏洞,漏洞CVE编号为:CVE-2017-8046,黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险
具体详情如下:                                                                                                                 

漏洞编号:  
CVE-2017-8046
漏洞名称:
Java Spring Data REST远程代码执行漏洞
官方评级:
高危
漏洞描述:
恶意攻击者使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求可以执行任意的Java代码。
漏洞利用条件和方式:  
网站使用Spring Data REST提供REST Web服务,版本在受影响范围内。
漏洞影响范围:
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本
* Spring Boot 2.0.0M4之前的版本
* Spring Data release trains Kay-RC3之前的版本

漏洞检测:  
开发人员检查使用的Spring是否在受影响版本范围内。
漏洞修复建议(或缓解措施):  
升级到以下最新版本:
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
* Spring Boot 2.0.0.M4
* Spring Data release train Kay-RC3

情报来源:  
1. https://pivotal.io/security/cve-2017-8046
2. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45
3. http://projects.spring.io/spring-data-rest/

展开
收起
琴瑟 2017-09-29 11:35:17 5631 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧 立即下载
微服务架构模式与原理Spring Cloud开发实战 立即下载
阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库 立即下载