【漏洞情报】Spring Data MongoDB SpEL 表达式注入漏洞 (CVE-2022-22980)

admin 2022年7月1日09:03:20安全漏洞评论29 views971字阅读3分14秒阅读模式

0x01  漏洞介绍


Spring Data MongoDB 为 Spring Data 下的子项目,用于为 MongoDB 提供接口服务,便于接入 Spring 软件生态中使用。

【漏洞情报】Spring Data MongoDB SpEL 表达式注入漏洞 (CVE-2022-22980)

当使用 @Query 或 @Aggregation 注解进行查询时,若通过 SpEL 占位符获取输入参数,并且未对用户输入进行有效过滤,则可能受该漏洞影响。在前述条件下,攻击者可利用该漏洞,构造恶意数据执行远程代码,最终获取服务器权限。


0x02  漏洞等级


严重 | 9.0


0x03  漏洞详情


Spring Data MongoDB 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响,如果输入未经过过滤,则该表达式包含用于值绑定的查询参数占位符。

具体来说,当满足以下所有条件时,应用程序很容易受到攻击

      • 使用 @Query 或 @Aggregation 注释存储库查询方法

      • 带注释的查询或聚合值/管道包含 SpEL 部分,使用表达式中的参数占位符语法

      • 应用程序未清理用户提供的输入

如果以下任何一项为真,则应用程序不会受到攻击:

      • 带注释的存储库查询或聚合方法不包含表达式

      • 带注释的存储库查询或聚合方法不使用表达式中的参数占位符语法

      • 用户提供的输入由应用程序清理

      • 存储库配置为使用限制 SpEL 使用的 QueryMethodEvaluationContextProvider

            

0x04  影响范围


Spring Data MongoDB 3.4.0

3.3.0 ≤ Spring Data MongoDB ≤ 3.3.4


0x05  修复方案


官方已发布新版本3.4.1以及 3.3.5,建议升级至安全版本及其以上,可见 https://spring.io/projects/spring-data-mongodb


0x06  参考链接


https://tanzu.vmware.com/security/cve-2022-22980

https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980


原文始发于微信公众号(锋刃科技):【漏洞情报】Spring Data MongoDB SpEL 表达式注入漏洞 (CVE-2022-22980)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月1日09:03:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞情报】Spring Data MongoDB SpEL 表达式注入漏洞 (CVE-2022-22980) http://cn-sec.com/archives/1133677.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: