漏洞预警|Spring Data REST 敏感信息泄露漏洞

最新推荐文章于 2023-09-10 11:23:41 发布
最新推荐文章于 2023-09-10 11:23:41 发布
阅读量278 收藏
点赞数
分类专栏: 漏洞预警 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/126978703
版权

棱镜七彩安全预警

近日网上有关于开源项目Spring Data REST 敏感信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Spring Data REST是一个用于构建restful服务的 Spring Web 框架。

项目主页

Introduction to Spring Data REST | Baeldung

代码托管地址

https://github.com/spring-projects/spring-data-rest

CVE编号

CVE-2022-31679

漏洞情况

Spring Data REST是一个用于构建restful服务的 Spring Web 框架。

在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完整,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。

攻击者可利用该漏洞获取敏感信息。

受影响的版本

org.springframework.data:spring-data-rest-webmvc@[1.0.0.RELEASE, 3.6.7)

org.springframework.data:spring-data-rest-webmvc@[3.7.0, 3.7.3)

修复方案

升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-31679

https://tanzu.vmware.com/security/cve-2022-31679

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)
千寻的博客
12-20 1805
文章目录漏洞描述漏洞编号FOFA 查询影响范围修复版本:环境搭建漏洞复现漏洞修复摘抄 漏洞描述 metabase 是一个简单、开源的数据分析平台。 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证 攻击者可通过该漏洞获得敏感信息漏洞编号 CVE-2021-41277 FOFA 查询 app=”metabase” 影响范围 metabase version &lt
Spring Data Rest 远程命令执行漏洞复现(CVE-2017-8046)
baidu_38844729的博客
07-06 3037
漏洞分析 漏洞原理: Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码 影响版本: Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3 Spring Boot version < 2.0.0M4 Spring Data release trains < Kay-RC3 漏洞复现 1、启动环境 cd v
Spring Data REST 敏感信息泄露漏洞
OSCS开源安全社区
09-20 613
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完全,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本。攻击者可利用该漏洞获取敏感信息
spring-messaging Remote Code Execution 漏洞公告
weixin_34302561的博客
04-27 187
转载:https://xz.aliyun.com/t/2252漏洞公告2018年4月5日漏洞公布:https://pivotal.io/security/cve-2018-1270漏洞影响版本:Spring Framework 5.0 to 5.0.4Spring Framework 4.3 to 4.3.14Older unsupported versions are a...
Spring data rest漏洞在IDEA中复现(CVE-2017-8046)
wxzyyds的博客
11-06 1196
这篇文章主要讲述了spring data rest(CVE-2017-8046)由于spel表达式没有进行过滤而导致的远程RCE,本片文章利用了IDEA中的动态调试,实现了对于漏洞产生原因的详细复现
「工控安全」爱康集团信息安全建设 - 漏洞预警.zip
11-09
「工控安全」爱康集团信息安全建设 - 漏洞预警 端点安全 安全资讯 等级保护 数据安全 安全实践
预警即预防:6大常见数据库安全漏洞
12-14
然后,更多不那么聪明的黑客不断重复老旧套路——因为同样老旧的漏洞一直在全球各个企业里涌现。  无论如何,数据泄露总是破坏性的;但更糟的是,要怎么向受影响的用户、投资人和证监会交代呢?一家公司上千万用户的...
「数据库安全」欧盟数字身份进展情况研究 - 漏洞预警.zip
11-26
「数据库安全」欧盟数字身份进展情况研究 - 漏洞预警 防火墙 云安全 攻防靶场 Web安全 安全资讯
漏洞预警」Jeremy Watson - 防火墙.zip
12-05
漏洞预警」Jeremy Watson - 防火墙 日志审计 信息安全 安全防护 Linux DDoS
Spring Data Rest远程命令执行漏洞复现(CVE-2017-8046)
最新发布
wutiangui的博客
09-10 365
Spring Data Rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者通过构造好的JSON数据来执行任意Java代码。将Content-Type指定为application/json-patch+json。使用python将准备执行的代码编码为十进制。访问以下链接,出现如下界面说明存在漏洞。1.准备shell命令。修改方法改为PATCH。
Spring Data REST不完全指南(三)
东溪陈姓少年
04-23 425
上一篇我们介绍了使用Spring Data REST时的一些高级特性,以及使用代码演示了如何使用这些高级的特性。本文将继续讲解前面我们列出来的七个高级特性中的后四个。至此,这些特性能满足我们大部分的接口开发场景。 需要满足的一些要求: 1.针对字段级别,方法级别,类级别进行限制(禁止某些字段,方法,接口的对外映射)。 2.对数据增删改查的限制(禁止某些请求方法的访问)。 3.能个性化定义请求的路...
Spring Data REST入门(一)
热门推荐
源码有毒的专栏
01-05 4万+
Spring Data REST入门(一) Spring Data REST入门(二) Spring Data REST入门(三) Spring Data REST入门(四) 什么是Spring Data REST Spring Data REST是基于Spring Data的repository之上,可以把 repository 自动输出为REST资源,目前支持Spring Data...
【Java开发】 Spring 09 :Spring Data REST 实现并访问简单的超媒体服务
尹煜的博客
12-07 1357
Spring Data REST 是提供一个灵活和可配置的机制来编写可以通过HTTP公开的简单服务,简单来说,而且可以省去大部分controller和services的逻辑,因为Spring Data REST 已经为你都做好了,目前支持JPA、MongoDB、Neo4j、Solr、Cassandra 和 Gemfire,因此本文以 JPA 举例。
Springboot之Actuator信息泄露漏洞利用
JHIII的博客
08-30 2万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
qq_50854662的博客
10-04 6746
转载于:https://www.freebuf.com/vuls/289710.html #前言##Spring Boot框架介绍Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的
这可能是全网把Spring Boot信息泄露讲的最清楚的文章,毕竟出自阿里P7架构师之手
文章中资料均可获取,有需要请添加yunduoa2019即可
09-10 2462
一、路由地址及接口调用详情泄漏 开发环境切换为线上生产环境时,相关人员没有更改配置文件或忘记切换配置环境,导致此漏洞 直接访问以下几个路由,验证漏洞是否存在: /api-docs /v2/api-docs /swagger-ui.html 一些可能会遇到的接口路由变形: /api.html /sw/swagger-ui.html /api/swagger-ui.html /template/swagger-ui.html /spring-security-rest/api/swa..
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3046
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息
Springboot信息泄露以及heapdump的利用
LiBai'S BLOG
10-12 2万+
努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
spring boot 定时器库存预警代码
05-31
以下是一个简单的 spring boot 定时器库存预警的代码示例: 首先,在 pom.xml 中添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-mail ``` 然后,在 application....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值