Проблема аналогична уязвимости в Apache Struts, приведшей к масштабной утечке данных клиентов Equifax.
Исследователи Semmle обнаружили в проекте Pivotal Spring Data REST серьезную уязвимость, позволяющую удаленно выполнить код. Производитель выпустил исправление в рамках обновления Spring Boot 2.0
Spring Framework от Pivotal Software является популярным фреймворком для разработки web-приложений, а Spring Data REST представляет собой коллекцию дополнительных компонентов для разработки Java-приложений, предлагающую RESTful API для лежащих в основе репозиториев Spring Data.
Уязвимость (CVE-2017-8046) была обнаружена еще в сентябре прошлого года, однако исследователи сообщили о ней широкой общественности только сейчас. Это связано с тем, что производитель хотел дать своим клиентам как можно больше времени на установку обновления. Уязвимость представляет большую опасность, поскольку является аналогичной уязвимости в Apache Struts, приведшей к масштабной утечке данных клиентов бюро кредитных историй Equifax.
Проблема затрагивает различные проекты Pivotal Spring. Если ее не исправить, злоумышленники смогут выполнять произвольные команды на любой машине с установленным приложением, созданным с помощью Spring Data REST. По словам специалистов Semmle, практически каждое современное приложение содержит компоненты, взаимодействующие через интерфейсы REST, начиная от сервисов по бронированию билетов и заканчивая банковскими сервисами.
Спойлер: мы раскрываем их любимые трюки