cve-2017-8046 – 绿盟科技技术博客

【预警通告】Spring Data Rest服务器PATCH请求远程代码执行漏洞 CVE-2017-8046

2017-09-29绿盟科技cve-2017-8046, spring cve-2017-8046, spring漏洞, 预警通告

近日，Pivotal官方发布通告表示Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞（CVE-2017-8046）。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器，提交的JSON数据中存在SPEL表达式可以导致远程代码执行。官方已经发布了新版本修复了该漏洞。