发布日期：2012-10-31
更新日期：2012-11-01

受影响系统：

VMWare Grails 2.x
VMWare Grails 1.x

描述：

---

CVE ID: CVE-2012-1833

Grails是一套用于快速Web应用开发的开源框架，它基于Groovy编程语言，并构建于Spring、Hibernate和其它标准Java框架之上，从而为大家带来一套能实现超高生产力的一站式框架。

Grails 1.3.7、2.0、2.0.1在执行数据绑定时存在错误，允许请求参数绑定到对象实例，而不提供属性名称的白名单或黑名单。攻击者可任意非法更新属性，导致绕过目标访问限制。

<*来源：vendor
  
  链接：http://secunia.com/advisories/51113/
        http://support.springsource.com/security/cve-2012-1833
*>

建议：

---

厂商补丁：

SpringSource
------------
SpringSource已经为此发布了一个安全公告（cve-2012-1833）以及相应补丁，请更新到1.3.8及2.0.2:

cve-2012-1833：29 March 2012: CVE-2012-1833: Grails data binding vulnerability

链接：http://support.springsource.com/security/cve-2012-1833

浏览次数：3774
严重程度：0（网友投票）