Grails数据绑定安全绕过漏洞
发布日期:2012-10-31
更新日期:2012-11-03
受影响系统:
VMWare Grails 2.x
VMWare Grails 1.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-1833
Grails是一套用于快速Web应用开发的开源框架,它基于Groovy编程语言,并构建于Spring、Hibernate和其它标准Java框架之上,从而为大家带来一套能实现超高生产力的一站式框架。
Grails 1.3.7、2.0、2.0.1在执行数据绑定时存在错误,允许请求参数绑定到对象实例,而不提供属性名称的白名单或黑名单。攻击者可任意非法更新属性,导致绕过目标访问限制。
<*来源:vendor
链接:http://secunia.com/advisories/51113/
http://support.springsource.com/security/cve-2012-1833
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
SpringSource
------------
SpringSource已经为此发布了一个安全公告(cve-2012-1833)以及相应补丁,请更新到1.3.8及2.0.2:
cve-2012-1833:29 March 2012: CVE-2012-1833: Grails data binding vulnerability