全部产品
云市场

【漏洞公告】CVE-2018-1273:Spring Data Commons组件远程代码执行漏洞

更新时间:2018-04-11 21:47:39

2018年4月10日,Spring官方宣布Spring Data Commons存在远程代码执行漏洞(CVE-2018-1273),攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s projection负载结合的,最终导致远程代码执行攻击。

漏洞详情见下文


漏洞编号

CVE-2018-1273

漏洞名称

Spring Data Commons组件远程代码执行漏洞

官方评级

CVE-2018-1273(高危)

漏洞描述

CVE-2018-1273:攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s projection负载结合的,最终导致远程代码执行攻击。

漏洞利用条件和方式

CVE-2018-1273:远程代码执行

漏洞影响范围

Spring Data Commons 1.13 - 1.13.10(Ingalls SR10)

Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)

Spring Data Commons 2.0 - 2.0.5 (Kay SR5)

Spring Data REST 3.0 - 3.0.5 (Kay SR5)

已不支持的旧版本

漏洞检测

检查是否使用了受影响版本

漏洞修复建议(或缓解措施)

阿里云安全团队建议使用了Spring相关框架用户关注并及时更新到官方最新版

Spring Data Commons组件

2.0.x版本用户更新至2.0.6

1.13.x版本用户更新至1.13.11

已不支持的旧版本请更新到官方提供支持的最新版本

已经修复的版本

Spring Data REST 2.6.11 (Ingalls SR11)

Spring Data REST 3.0.6 (Kay SR6)

Spring Boot 1.5.11

Spring Boot 2.0.1

官方下载链接:

https://projects.spring.io/spring-data/

https://projects.spring.io/spring-data-rest/

https://projects.spring.io/spring-boot/

情报来源

https://pivotal.io/security/cve-2018-1273