Spring是于2003 年兴起的一个轻量级的Java 开发框架，其中Spring Data 项目是为了简化构建基于 Spring 框架应用的数据访问计数，包括关系及非关系数据库、Map-Reduce 框架、云数据服务等等。而Spring Data Rest又是Spring Data的子项目，为了帮助开发者更加容易地开发REST风格的Web服务，这东西在银行用的多。

近日，Pivotal官方发布通告表示Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞（CVE-2017-8046）。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器，通过构造好的JSON数据来执行任意Java代码。官方已经发布了新版本修复了该漏洞。[出自:jiwo.org]

影响范围

受影响的版本

• Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3
• Spring Boot version < 2.0.0M4
• Spring Data release trains < Kay-RC3

不受影响的版本

• Spring Data REST 2.5.12, 2.6.7, 3.0RC3
• Spring Boot 2.0.0.M4
• Spring Data release train Kay-RC3

解决方案

官方已经发布了新版本修复了该漏洞，受影响的用户请尽快升级至最新版本来防护该漏洞。