Badacze z firmy lgtm.com opublikowali artykuł, w którym opisują krytyczną podatność platformy Spring, używanej do tworzenia aplikacji Java wykorzystujących API REST. Podatność, oznaczona jako CVE-2017-8046 umożliwia zdalne wykonanie kodu w wyniku wysłania zapytania PATCH z odpowiednio spreparowanym kodem JSON. Podatność dotyczy oprogramowania:
- Spring Data REST wersje do 2.5.12, 2.6.7, 3.0 RC3
- Spring Boot wersje do 2.0.0M4
- Spring Data release trains przed Kay-RC3
Firma Pivotal, wytwórca oprogramowania, wydała poprawkę DATAREST-1127 11 września 2017. CERT PSE rekomenduje stosowanie najnowszych wersji Pivotal Spring, uwzględniających tę poprawkę.
Informacja lgtm.com: https://lgtm.com/blog/spring_data_rest_CVE-2017-8046
Opis podatności na stronie producenta: https://pivotal.io/security/cve-2017-8046
Log zmian oprogramowania Spring Data REST: https://docs.spring.io/spring-data/rest/docs/current/changelog.txt
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny