全部产品
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件

【漏洞公告】CVE-2017-8046:Spring Data REST远程代码执行漏洞

更新时间:2017-09-29 09:44:55

2017年9月21日,流行的Java框架spring被爆出一个高危漏洞,漏洞CVE编号为:CVE-2017-8046。黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险。

具体详情如下:

漏洞编号

CVE-2017-8046

漏洞名称

Java Spring Data REST远程代码执行漏洞

官方评级

高危

漏洞描述

恶意攻击者通过使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求,可以执行任意的Java代码。

漏洞利用条件和方式

网站使用Spring Data REST提供REST Web服务,且版本在受影响范围内。

漏洞影响范围

  • Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本
  • Spring Boot 2.0.0M4之前的版本
  • Spring Data release trains Kay-RC3之前的版本

漏洞检测

开发人员检查使用的Spring框架是否在受影响版本范围内。

漏洞修复建议(或缓解措施)

升级到以下最新版本:

  • Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
  • Spring Boot 2.0.0.M4
  • Spring Data release train Kay-RC3

情报来源

本文导读目录