Grails数据绑定安全绕过漏洞

发布日期:2012-10-31
更新日期:2012-11-03

受影响系统:
VMWare Grails 2.x
VMWare Grails 1.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-1833

Grails是一套用于快速Web应用开发的开源框架,它基于Groovy编程语言,并构建于Spring、Hibernate和其它标准Java框架之上,从而为大家带来一套能实现超高生产力的一站式框架。

Grails 1.3.7、2.0、2.0.1在执行数据绑定时存在错误,允许请求参数绑定到对象实例,而不提供属性名称的白名单或黑名单。攻击者可任意非法更新属性,导致绕过目标访问限制。

<*来源:vendor
 
  链接:http://secunia.com/advisories/51113/
        http://support.springsource.com/security/cve-2012-1833
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

SpringSource
------------
SpringSource已经为此发布了一个安全公告(cve-2012-1833)以及相应补丁,请更新到1.3.8及2.0.2:

cve-2012-1833:29 March 2012: CVE-2012-1833: Grails data binding vulnerability

链接:http://support.springsource.com/security/cve-2012-1833

相关推荐