Spring Data Commons

Die Schwachstelle steckt in Spring Data Commons von VMware Tanzu, einer weit verbreiteten Grundlagenbibliothek für den Datenzugriff in Java-Anwendungen. Ursache ist eine fehlerhafte Behandlung von Sonderzeichen im sogenannten Property Binder – jener Komponente, die eingehende Anfrageparameter automatisch auf Objekteigenschaften abbildet. Ein Angreifer kann aus der Ferne und ohne vorherige Anmeldung speziell präparierte Anfrageparameter an HTTP-Ressourcen senden, die über Spring Data REST bereitgestellt werden, oder die projektionsbasierte Bindung von Anfragedaten missbrauchen. Weil die Sonderzeichen nicht ausreichend bereinigt werden, lässt sich darüber bösartiger Code einschleusen und auf dem Server ausführen. Im Ergebnis erlangt der Angreifer die Möglichkeit zur entfernten Codeausführung und damit weitreichende Kontrolle über die betroffene Anwendung. Betroffen sind Anwendungen, die verwundbare Versionen der Bibliothek einsetzen und ihre Datenschnittstellen über die genannten Mechanismen nach außen verfügbar machen.