だいぶ前に個人的に作ってた記事の移動
概要
Spring Data Commonsを使用しているWebアプリケーションで任意のコード実行が可能。
CVE-2018-1273: RCE with Spring Data Commons
Level up your Java code and explore what Spring can do for you.
spring.io
Spring Data Commons の脆弱性に関する注意喚起
www.jpcert.or.jp
Spring Data Commonsにおける任意コード実行の脆弱性(CVE-2018-1273)
サイバーセキュリティエンジニアリング部の藤...
blog.recruit.co.jp
脆弱なバージョン
- Spring Data Commons 1.13 to 1.13.10 (Ingalls SR10)
- Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
- Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
- Spring Data REST 3.0 to 3.0.5 (Kay SR5)
対策
各種アップデート(4年前の脆弱性だけど・・・)
脆弱な環境
正常系リクエスト。
構成としてはシンプルにしてある。
poc実行。
電卓を立ち上げるようにpocを作成した。
Windowsのeclipseで動かしているので、電卓が立ち上がる。
修正後の環境
エラーが起きることは起きるが内容が違っていた。
電卓も起動しない。
Notion – The all-in-one workspace for your notes, tasks, wikis, and databases.
A new tool that blends your everyday work apps into one. It's the all-in-one workspace for you and your team
www.notion.so
コメント