开发人员需注意：Spring Data REST曝远程代码执行（RCE）漏洞

　　根据lgtm.com在上周四发布的博客文章来看，一个严重的远程代码执行（RCE）漏洞影响了Pivotal 公司旗下多个产品和组件。Pivotal 公司成立于2013年，其拥有的轻量级Java开发框架Spring是CISP培训世界上最流行的Web应用程序框架之一。

　　lgtm.com的安全研究人员Man Yue Mo表示，如果某台计算机运行着使用Spring Data REST构建的应用程序，那么攻击者便可以利用这个漏洞在该计算机上执行任意命令。这个漏洞与Apache Struts中存在的漏洞类似，而后者曾在去年导致美国三大征信机构之一的Equifax公司遭遇了严重的数据泄露。

　　据研究与分析公司RedMonk称，Pivotal公司的Spring Framework是构建Web应用程序最流行的平台之一。而Spring Data REST则是开发人员构建Java应用程序的附加组件集合，这些应用程序为底层Spring Data存储库提供RESTful API 。这种接口被非常广泛地使用，几乎每个现代Web应用程序都将包含通过REST接口进行通信的组件，比如在线旅行预订系统、移动应用程序和网上银行服务。

　　此漏洞是与Data REST组件中Spring表达式语言（SpEL）的使用方式有关，由于缺少对用户输入的验证导致攻击者能够在任何运行使用Spring Data REST构建的应用程序的计算机上执行任意命令。

　　漏洞被标识为CVE-2017-8046，早在去年9月份就已经被公开披露，但Pivotal 公司在最近再次对受影响的产品和组件列表进行了更新，这也使得一些安全公司再次对其进行了关注。

　　Man Yue Mo解释说，Spring Data REST中的这个漏洞很不幸极其容易被利用。由于RESTful API通常可公开访问，因此它允许攻击者能够轻松地获得对目标计算机的控制权，并窃取用户的敏感数据。

　　以下是受漏洞影响的Spring产品和组件（Pivotal 公司在3月6日更新的列表）：

　　Spring Data REST：2.6.9 （Ingalls SR9）、3.0.1 （Kay SR1）之前版本；

　　Spring Boot（如果使用Spring Data REST模块）：1.5.9、2.0 M6之前版本。

　　Pivotal 公司在最新的公告中称，已针对受该漏洞影响的产品和组件发布了对应的安全补丁，并建议受影响用户尽快进行更新。