棱镜七彩安全预警

近日网上有关于开源项目Spring Data REST 敏感信息泄露漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Spring Data REST是一个用于构建restful服务的 Spring Web 框架。

项目主页

https://www.baeldung.com/spring-data-rest-intro

代码托管地址

https://github.com/spring-projects/spring-data-rest

CVE编号

CVE-2022-31679

漏洞情况

Spring Data REST是一个用于构建restful服务的 Spring Web 框架。

在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序，但由于对请求的校验不完整，导致可以通过请求底层域模型的结构来获取隐藏的实体属性。

攻击者可利用该漏洞获取敏感信息。

受影响的版本

org.springframework.data:spring-data-rest-webmvc@[1.0.0.RELEASE, 3.6.7)

org.springframework.data:spring-data-rest-webmvc@[3.7.0, 3.7.3)

修复方案

升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2022-31679

https://tanzu.vmware.com/security/cve-2022-31679

原文地址：https://www.4hou.com/posts/50rx