Spring Data Rest服务器PATCH请求远程代码执行漏洞技术分析与防护方案
近日,Pivotal官方发布通告表示Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞(CVE-2017-8046)。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,提交的JSON数据中存在SPEL表达式可以导致远程代码执行。官方已经发布了新版本修复了该漏洞。
【预警通告】Spring AMQP服务器远程代码执行漏洞 CVE-2017-8045
近日,Pivotal官方发布通告表示Spring AMQP服务器存在一个远程代码执行漏洞(CVE-2017-8045)。该漏洞原因是由于在于org.springframework.amqp.core.Message被不安全的反序列化为一个string,从而导致远程代码执行。官方已经发布了新版本修复了该漏洞。