Spring Data Commons 远程代码执行

admin 2022年5月13日00:06:16安全漏洞评论7 views553字阅读1分50秒阅读模式

点击上方蓝字“Ots安全”一起玩耍

×


01
 漏洞描述


远程主机上安装的 Spring Data Commons 版本受到远程代码执行漏洞的影响。- 风险因素:高 - 插件类型:本地 - 脚本文件名:spring_data_commons_2_0_6.nasl 安装在远程主机上的 Spring Data Commons 版本受到远程代码执行漏洞的影响。Spring Data Commons、1.13 到 1.13.10、2.0 到 2.0.5 之前的版本,以及不受支持的旧版本,包含一个属性绑定器漏洞,该漏洞是由于对特殊元素的不正确中和导致的。未经身份验证的远程恶意使用...


×


02
漏洞状态


漏洞细节
POC
EXP



×


03
漏洞引用



×


04
旧的漏洞


CVE-2018-1273,Spring Data Commons、1.13 到 1.13.10、2.0 到 2.0.5 之前的版本,以及不受支持的旧版本,包含一个属性绑定器漏洞,该漏洞是由于对特殊元素的不正确中和导致的。未经身份验证的远程恶意用户(或攻击者)可以针对 Spring Data REST 支持的 HTTP 资源提供特制的请求参数,或者使用 Spring Data 的基于投影的请求有效负载绑定帽子可能导致远程代码执行攻击。


×


05
漏洞分析



Spring Data Commons 远程代码执行

原文始发于微信公众号(Ots安全):Spring Data Commons 远程代码执行

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月13日00:06:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Spring Data Commons 远程代码执行 http://cn-sec.com/archives/1002325.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: