漏洞预警|Spring Data REST 敏感信息泄露漏洞

最新推荐文章于 2023-09-10 11:23:41 发布
最新推荐文章于 2023-09-10 11:23:41 发布
阅读量323 收藏
点赞数
分类专栏: 漏洞预警 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/126978703
版权

棱镜七彩安全预警

近日网上有关于开源项目Spring Data REST 敏感信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Spring Data REST是一个用于构建restful服务的 Spring Web 框架。

项目主页

Introduction to Spring Data REST | Baeldung

代码托管地址

https://github.com/spring-projects/spring-data-rest

CVE编号

CVE-2022-31679

漏洞情况

Spring Data REST是一个用于构建restful服务的 Spring Web 框架。

在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完整,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。

攻击者可利用该漏洞获取敏感信息。

受影响的版本

org.springframework.data:spring-data-rest-webmvc@[1.0.0.RELEASE, 3.6.7)

org.springframework.data:spring-data-rest-webmvc@[3.7.0, 3.7.3)

修复方案

升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-31679

https://tanzu.vmware.com/security/cve-2022-31679

棱镜七彩
关注
专栏目录
Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)
千寻的博客
12-20 1880
文章目录漏洞描述漏洞编号FOFA 查询影响范围修复版本:环境搭建漏洞复现漏洞修复摘抄 漏洞描述 metabase 是一个简单、开源的数据分析平台。 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证 攻击者可通过该漏洞获得敏感信息漏洞编号 CVE-2021-41277 FOFA 查询 app=”metabase” 影响范围 metabase version &lt
搭建第一个Springcloud项目
yzw3270978316的博客
05-15 1240
springclud入门教程
Spring Data REST 敏感信息泄露漏洞
OSCS开源安全社区
09-20 656
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完全,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本。攻击者可利用该漏洞获取敏感信息
Spring Data Rest 远程命令执行漏洞复现(CVE-2017-8046)
baidu_38844729的博客
07-06 3324
漏洞分析 漏洞原理: Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码 影响版本: Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3 Spring Boot version < 2.0.0M4 Spring Data release trains < Kay-RC3 漏洞复现 1、启动环境 cd v
spring-messaging Remote Code Execution 漏洞公告
weixin_34302561的博客
04-27 203
转载:https://xz.aliyun.com/t/2252漏洞公告2018年4月5日漏洞公布:https://pivotal.io/security/cve-2018-1270漏洞影响版本:Spring Framework 5.0 to 5.0.4Spring Framework 4.3 to 4.3.14Older unsupported versions are a...
Spring data rest漏洞在IDEA中复现(CVE-2017-8046)
wxzyyds的博客
11-06 1256
这篇文章主要讲述了spring data rest(CVE-2017-8046)由于spel表达式没有进行过滤而导致的远程RCE,本片文章利用了IDEA中的动态调试,实现了对于漏洞产生原因的详细复现
基于Spring Boot的书店信息管理系统开发与实践
资源摘要信息:"Spring Boot书店信息管理系统是一个使用Spring Boot框架开发的系统,主要目的是帮助书店高效管理书籍及相关信息。系统具备数据管理、销售记录、顾客管理、库存管理以及收银管理等多项功能。开发过程中...
玩转 Spring boot 系列:(十)基于Elasticsearch 7.8 实现简单查询及高亮分词查询
李人
08-20 1206
前言: 玩转 Spring boot 系列:(一)使用 Idea 搭建 Spring boot Maven 多模块父子工程(图解) 玩转 Spring boot 系列:(二)配置多开发环境,集成druid数据源(图解) 玩转 Spring boot 系列:(三)集成mybatis,实现增删改查(图解) 玩转 Spring boot 系列:(四)mybatis 集成分页插件 pagehelper 并自定义分页结果集 玩转 Spring boot 系列:(五)集成 redis 客户端 Jedis 玩
ELK+kafaka+filebeat实现系统日志收集与预警
weixin_43636291的博客
01-03 1592
ELK+kafaka+filebeat实现系统日志收集与预警
公共卫生管理新工具:如何构建疾病监测与预警系统
在今天这个快速变化的时代,全球化与城市化加剧了各种疾病的传播风险,因此建立一个高效的疾病监测与预警系统变得尤为重要。本章旨在为读者提供一个全面的系统概述,从基础概念到实际应用,涵盖了理论基础和实践案例...
Spring Data Rest远程命令执行漏洞复现(CVE-2017-8046)
最新发布
wutiangui的博客
09-10 443
Spring Data Rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者通过构造好的JSON数据来执行任意Java代码。将Content-Type指定为application/json-patch+json。使用python将准备执行的代码编码为十进制。访问以下链接,出现如下界面说明存在漏洞。1.准备shell命令。修改方法改为PATCH。
Spring Data REST不完全指南(三)
东溪陈姓少年
04-23 477
上一篇我们介绍了使用Spring Data REST时的一些高级特性,以及使用代码演示了如何使用这些高级的特性。本文将继续讲解前面我们列出来的七个高级特性中的后四个。至此,这些特性能满足我们大部分的接口开发场景。 需要满足的一些要求: 1.针对字段级别,方法级别,类级别进行限制(禁止某些字段,方法,接口的对外映射)。 2.对数据增删改查的限制(禁止某些请求方法的访问)。 3.能个性化定义请求的路...
Spring Data REST入门(一)
热门推荐
源码有毒的专栏
01-05 4万+
Spring Data REST入门(一) Spring Data REST入门(二) Spring Data REST入门(三) Spring Data REST入门(四) 什么是Spring Data REST Spring Data REST是基于Spring Data的repository之上,可以把 repository 自动输出为REST资源,目前支持Spring Data...
Springboot之Actuator信息泄露漏洞利用
JHIII的博客
08-30 3万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
qq_50854662的博客
10-04 7600
转载于:https://www.freebuf.com/vuls/289710.html #前言##Spring Boot框架介绍Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的
这可能是全网把Spring Boot信息泄露讲的最清楚的文章,毕竟出自阿里P7架构师之手
文章中资料均可获取,有需要请添加yunduoa2019即可
09-10 2676
一、路由地址及接口调用详情泄漏 开发环境切换为线上生产环境时,相关人员没有更改配置文件或忘记切换配置环境,导致此漏洞 直接访问以下几个路由,验证漏洞是否存在: /api-docs /v2/api-docs /swagger-ui.html 一些可能会遇到的接口路由变形: /api.html /sw/swagger-ui.html /api/swagger-ui.html /template/swagger-ui.html /spring-security-rest/api/swa..
机房布线的最高境界……
weixin_44421461的博客
08-29 662
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
Spring Data REST 远程代码执行漏洞(CVE-2017-8046)分析与复现
美团技术团队
09-29 4877
前言 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发者而言,引入新的工具显然是令人兴奋的,但是对于运维人员,也许是噩耗的开始。类比Struts 2框架,会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞,占据了多少甲方乙方工程师的夜晚/周末,这导致Struts 2越...
Spring Data REST(一):两行代码搞定RESTFul
拾荒者
03-20 5166
什么是Spring Data RESTSpring Data REST是基于Spring Data的repository之上,可以把 repository 自动输出为REST资源,目前支持Spring Data JPA、Spring Data MongoDB、Spring Data Neo4j、Spring Data GemFire、Spring Data Cassandra的 repositor...
实时监控CVE漏洞并推送的Seebug系统开发
Seebug为安全研究人员和安全从业者提供了丰富的漏洞信息,并支持漏洞信息的查询、分析和预警服务。 3. Struts漏洞:Apache Struts是一种流行的开源Web应用框架,用于构建Java EE Web应用程序。然而,Struts框架在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值