漏洞预警|Spring Data REST 敏感信息泄露漏洞
棱镜七彩安全预警
近日网上有关于开源项目Spring Data REST 敏感信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Spring Data REST是一个用于构建restful服务的 Spring Web 框架。
项目主页
https://www.baeldung.com/spring-data-rest-intro
代码托管地址
https://github.com/spring-projects/spring-data-rest
CVE编号
CVE-2022-31679
漏洞情况
Spring Data REST是一个用于构建restful服务的 Spring Web 框架。
在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完整,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。
攻击者可利用该漏洞获取敏感信息。
受影响的版本
org.springframework.data:spring-data-rest-webmvc@[1.0.0.RELEASE, 3.6.7)
org.springframework.data:spring-data-rest-webmvc@[3.7.0, 3.7.3)
修复方案
升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本
链接地址: