ГлавнаяБаза уязвимостей БДУ → BDU:2022-06726
10критическая

BDU:2022-06726 (CVE-2018-1273)

Уязвимость класса SimpleEvaluationContext платформы управления данными Spring Data Commons и фреймворка для создания веб-сервисов Spring Data REST, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-11-14
Описание

Уязвимость класса SimpleEvaluationContext платформы управления данными Spring Data Commons и фреймворка для создания веб-сервисов Spring Data REST связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданных запросов

Затрагиваемое ПО и версии
Spring Data Commons (до 1.13.10 (Ingalls SR10) включительно)Spring Data Commons (от 2.0 до 2.0.5 (Kay SR5) включительно)Spring Data REST (до 2.6.10 (Ingalls SR10) включительно)Spring Data REST (от 3.0 до 3.0.5 (Kay SR5) включительно)Oracle Financial Services Crime and Compliance Management Studio (8.0.8.2.0)Oracle Financial Services Crime and Compliance Management Studio (8.0.8.3.0)Ignite (от 1.0.0-RC3 до 2.5 включительно)
Способ устранения

Использование рекомендаций:
Для программных продуктов Pivotal Software Inc:
https://jira.spring.io/browse/DATACMNS-1282
https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2022.html

Для Apache Ignite:
https://lists.apache.org/thread/p12xtkr39tno5m7oo0px441mz74kbcs5

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://mail-archives.apache.org/mod_mbox/ignite-dev/201807.mbox/%3CCAK0qHnqzfzmCDFFi6c5Jok19zNkVCz5Xb4sU%3D0f2J_1i4p46zQ%40mail.gmail.com%3Ehttps://pivotal.io/security/cve-2018-1273https://www.oracle.com/security-alerts/cpujul2022.htmlhttps://jira.spring.io/browse/DATACMNS-1282https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432ahttps://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653https://docs.spring.io/spring-data/jpa/docs/current/reference/html/#core.web.bindinghttps://nvd.nist.gov/vuln/detail/CVE-2018-1273
Проверьте безопасность своего сайта и почты → Полная проверка домена