搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2022-22963:Spring Cloud Function中由於惡意的Spring表示式導致的遠端程式碼執行
描述
在使用路由功能的 Spring Cloud Function 3.1.6、3.2.2 及更舊的不受支援的版本中,使用者可以提供特別構造的 SpEL 作為路由表示式,這可能會導致遠端程式碼執行和訪問本地資源。
受影響的 Spring 產品和版本
- Spring Cloud Function
- 3.1.6
- 3.2.2
- 更舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到 3.1.7、3.2.3。無需其他步驟。已修復此問題的版本包括
- Spring Cloud Function
- 3.1.7
- 3.2.3
致謝
此漏洞最初由 m09u3r 發現並負責任地報告。
參考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- https://cwe.mitre.org/data/definitions/770.html
- https://cwe.mitre.org/data/definitions/497.html
歷史
- 2022-03-29:釋出初始漏洞報告。
- 2022-03-31:更新了描述、嚴重性和參考。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略