Une faille critique d’exécution de code arbitraire à distance a été découverte dans Spring Data REST

Une vulnérabilité d'exécution de code à distance critique affectant divers produits et composants de Spring a été découverte. Cette vulnérabilité permettrait l’exécution de code sur des serveurs exécutant une application créée à l'aide d’une version vulnérable de Spring Data REST.

Spring est un framework conçu pour développer des applications web en Java. Spring Data REST est un module permettant de créer des applications Java qui offrent des API RESTful.

La vulnérabilité est liée à l'absence de validation des entrées des utilisateurs utilisant l’API REST. Des requêtes ‘PATCH’ malveillantes envoyées aux serveurs spring-data-rest peuvent inclure des données au format JSON qui pourraient permettre d’exécuter du code arbitraire.

Informations
+

Impact

  • Exécution de code arbitraire à distance

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Spring Data REST versions antérieures à 2.5.12, 2.6.7 et 3.0 RC3
  • Spring Boot versions antérieures à 2.0.0M4
  • Spring Data release train versions antérieures à Kay-RC3

CVE

  • CVE-2017-8046

Recommandations
+

Correctifs
Il est recommandé aux utilisateurs possédant des versions affectées d’appliquer les dernières mises à jour :

  • Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
  • Spring Boot 2.0.0.M4
  • Spring Data release train Kay-RC3

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.