由於其兼具模組化和輕量級,Spring是最流行的Java應用程式開發框架之一。它被許多開發人員所喜愛,因為它讓他們更輕鬆地開發功能更強大的應用程式。這個框架通常依靠在應用程式和資料庫之間提供一個介面(interface),這對於要透過API來存取後端的資料來說至關重要。它以 inversion of the control(IOC)的設計原理廣為人知。這對於要用API來取得後端的資料來說至關重要。它以反轉控制設計原理而廣為人知,該原理包含分層(layering),輕量級容器(lightweight container)以及在介面上開發的能力。
不幸的是,對於使用Spring架構的人來說,他們在過去一年中發現了兩個痛苦的漏洞,此漏洞影響了Spring的安全模組。在這兩種情況下,CVE都得到5.0分,嚴重程度為中風險。首先是在Pivotal Spring Security發現的CVE-2016-9879,它允許攻擊者繞過重要的安全檢測。這個漏洞影響了264間公司,並導致大量紅色警報。據研究人員介紹,導致此漏洞的問題在於Servlet中處理路徑參數時缺乏明確性,因為當使用getPathInfo()函式取得路徑資料時,實際上並非所有Servlet containers 都包含路徑參數。這很重要,因為Spring的安全模組依賴於這個參數,利用比對來檢測該參數值是否符合條件。
就像這個名字所暗示的,這個套件企圖讓所有的野獸保持秩序,而不是互相攻擊。Zookeeper從本質上是幫助開發人員配置、同步和組織大型分散式系統,如內部或外部網路。所以當發現漏洞可能導致阻斷服務(Denial of Service)攻擊時,這是一個很大的問題。我們看到它在212間不同的公司中瘋狂運行,遠遠超出了預期的項目數量。它被賦予了中風險的嚴重程度,但得分為6.9,這使得人們需要去注意並重視它。修復方式需建立一個命令,並包含四個字母單字的白名單,否則將導致阻斷服務(Denial of Service)攻擊。我們相信,被這個漏洞攻擊的公司,有充足的時間來選擇他們自己的白名單。
6. node-mime:WS-2017-0330 這個JavaScript套件在WhiteSource資料庫中顯示在2017年已經影響了143間不同的公司。但是它卻沒有在NVD的資料庫中。據WhiteSource研究人員指出,這個漏洞會造成被攻擊的目標發生阻斷服務(Denial of Service)。這個元件弱點造成的威脅,風險等級列為高風險,且得分高達7.5分。