一、漏洞介紹
Spring Data是一個用于簡化資料庫訪問,并支持云服務的開源框架,Spring Data Commons是Spring Data下所有子專案共享的基礎框架,Spring Data Commons 在2.0.5及以前版本中,存在一處SpEL運算式注入漏洞,攻擊者可以注入惡意SpEL運算式以執行任意命令,
二、影響版本
Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10)
Spring Data REST 2.6 - 2.6.10 (Ingalls SR10)
Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
Spring Data REST 3.0 - 3.0.5 (Kay SR)
三、vulmap掃描結果

四、漏洞復現
先對網站進行抓包

然后附上payload,我是用dnslog驗證的

ping dnslog域名查看有沒有回顯


有回顯,代表存在漏洞!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/413274.html
標籤:其他
