Grails数据绑定安全绕过漏洞

发布日期：2012-10-31
更新日期：2012-11-03受影响系统：
VMWare Grails 2.x
VMWare Grails 1.x
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2012-1833Grails是一套用于快速Web应用开发的开源框架，它基于Groovy编程语言，并构建于Spring、Hibernate和其它标准Java框架之上，从而为大家带来一套能实现超高生产力的一站式框架。Grails 1.3.7、2.0、2.0.1在执行数据绑定时存在错误，允许请求参数绑定到对象实例，而不提供属性名称的白名单或黑名单。攻击者可任意非法更新属性，导致绕过目标访问限制。<*来源：vendor

链接：http://secunia.com/advisories/51113/
http://support.springsource.com/security/cve-2012-1833
*>建议：
--------------------------------------------------------------------------------
厂商补丁：SpringSource
------------
SpringSource已经为此发布了一个安全公告（cve-2012-1833）以及相应补丁，请更新到1.3.8及2.0.2:cve-2012-1833：29 March 2012: CVE-2012-1833: Grails data binding vulnerability链接：http://support.springsource.com/security/cve-2012-1833Plone安全限制绕过和代码执行漏洞WordPress FoxyPress插件多个安全漏洞相关资讯 Grails 安全绕过漏洞 Grails安全漏洞

Grails 3.0 发布下载，Groovy 开发（04/01/2015 09:44:10）
Groovy框架 Grails （05/22/2014 09:10:16）
Grails 2.3.0 GA 发布（09/11/2013 08:47:45）

Grails 2.4 发布，Groovy 开发框架（05/22/2014 08:11:17）
Grails 2.3.5 GA 发布（02/16/2014 11:49:38）
StarVedia IP Camera IC502w+安全（03/29/2013 14:09:17）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款