領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2022-22963:Spring Cloud Function 中惡意 Spring Expression 導致的遠端程式碼執行
描述
在Spring Cloud Function 3.1.6、3.2.2及更舊的不受支援的版本中,當使用路由功能時,使用者可以提供經過特殊構造的SpEL作為路由表示式,這可能導致遠端程式碼執行並訪問本地資源。
受影響的 Spring 產品和版本
- Spring Cloud Function
- 3.1.6
- 3.2.2
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到3.1.7、3.2.3。無需其他步驟。已修復此問題的版本包括
- Spring Cloud Function
- 3.1.7
- 3.2.3
致謝
此漏洞最初由m09u3r發現並負責任地報告。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- https://cwe.mitre.org/data/definitions/770.html
- https://cwe.mitre.org/data/definitions/497.html
歷史
- 2022-03-29:首次釋出漏洞報告。
- 2022-03-31:更新了描述、嚴重性和參考資料。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略