В Pivotal Spring Data REST исправлена критическая уязвимость
Исследователи Semmle обнаружили в проекте Pivotal Spring Data REST серьезную уязвимость, позволяющую удаленно выполнить код. Производитель выпустил исправление в рамках обновления Spring Boot 2.0
Spring Framework от Pivotal Software является популярным фреймворком для разработки web-приложений, а Spring Data REST представляет собой коллекцию дополнительных компонентов для разработки Java-приложений, предлагающую RESTful API для лежащих в основе репозиториев Spring Data.
Уязвимость (CVE-2017-8046) была обнаружена еще в сентябре прошлого года, однако исследователи сообщили о ней широкой общественности только сейчас. Это связано с тем, что производитель хотел дать своим клиентам как можно больше времени на установку обновления. Уязвимость представляет большую опасность, поскольку является аналогичной уязвимости в Apache Struts, приведшей к масштабной утечке данных клиентов бюро кредитных историй Equifax.
Проблема затрагивает различные проекты Pivotal Spring. Если ее не исправить, злоумышленники смогут выполнять произвольные команды на любой машине с установленным приложением, созданным с помощью Spring Data REST. По словам специалистов Semmle, практически каждое современное приложение содержит компоненты, взаимодействующие через интерфейсы REST, начиная от сервисов по бронированию билетов и заканчивая банковскими сервисами.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш