spring框架漏洞整理(Spring Data漏洞)
2023-09-11 14:19:27 时间
Spring Data漏洞,Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架。
(CVE-2017-8046)Spring Data Rest 远程命令执行漏洞
影响范围PivotalSpringDataREST2.5.12 之前的版本,2.6.7 之前的版本,3.0RC3 之前的版本
SpringBoot2.0.0M4 之前版本
SpringDataKay-RC3 之前的版本
参考文章
http://www.code2sec.com/cve-2017-8046-spring-data-restming-ling-zhi-xing-lou-dong.html
特征header 头是 Content-Type: application/hal+json;charset=UTF-8
Spring Data漏洞利用
PATCH http://localhost:18080/customers/1 HTTP/1.1
Host: localhost:18080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 193
相关文章
- ssh(Spring+Spring mvc+hibernate)——hibernate.cfg.xml
- ssh(Spring+Spring mvc+hibernate)——applicationContext.xml
- spring boot: spring Aware的目的是为了让Bean获得Spring容器的服务
- Spring Boot启动时数据库初始化spring.datasource(转)
- spring boot: filter/interceptor/aop在获取request/method参数上的区别(spring boot 2.3.1)
- Spring Boot——2分钟构建spring web mvc REST风格HelloWorld
- spring学习12 -Spring 框架模块以及面试常见问题注解等
- Spring 基于注解(annotation)的配置之@Required注解
- Spring+Velocity+Mybatis整合笔记(step by step)
- 【Spring源码学习】spring IOC容器管理
- Spring 中的bean 是线程安全的吗?
- 毕业设计 Spring Boot的婚纱摄影管理系统(含源码+论文)
- 解决com.alibaba.fastjson.JSONException: write javaBean error问题以及解决Spring Boot加入Shiro导致spring aop失效的问题
- 001-Spring Cloud Edgware.SR3 升级最新 Finchley.SR1,spring boot 1.5.9.RELEASE 升级2.0.4.RELEASE注意问题点
- Spring Boot应用程序属性
- springboot 和spring cloud 博客分享
- spring cloud 知识总结
- Spring全注解开发---声明式事务模块
- SpringBoot实例③Spring Boot 日志配置
- Spring+SpringMVC+Mybatis(开发必备技能)04、mybatis自动生成mapper_dao_model(包含工具与视频讲解) 纯绿色版本、配套使用视频,100%运行成功
- 【java】Spring Boot --spring boot项目整合xxl-job
- CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞