【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

2022年6月30日23:42:24评论30 views字数 1113阅读3分42秒阅读模式

漏洞概述

美创安全实验室监测到Spring Data MongoDB SpEL表达式注入漏洞，漏洞编号：CVE-2022-22980，漏洞等级：高危，漏洞评分：8.2。

当使用@Query或@Aggregation注解进行查询时，若通过SPEL表达式中形如“?0”的占位符来进行参数赋值，同时应用程序未对用户输入进行过滤处理，则可能受到SPEL表达式注入的影响，进而可造成远程代码执行。

对此，美创安全实验室建议用户尽快将Spring Data MongoDB更新至安全版本。

影响版本

Spring Data MongoDB == 3.4.0

1.0.0 <= Spring Data MongoDB <= 3.3.4

旧的、不受支持的版本也会受到影响

安全版本

Spring Data MongoDB >= 3.4.1

Spring Data MongoDB >= 3.3.5

处置建议

目前，VMware官方已发布漏洞修复补丁，建议用户尽快下载安装补丁程序或采取缓解措施。

1.补丁升级

建议尽快升级至官方修护版本：

Spring Data MongoDB 3.4.1版本：

https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1

Spring Data MongoDB 3.3.5版本：

https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5

2. 缓解措施

（1）如果您的应用程序需要使用由用户输入控制的SpEL表达式，那么使用数组形式语法“[0]”引入SpEL参数而不是“?0”形式；

（2）实现自定义存储库方法，详见：

https://docs.spring.io/spring-data/mongodb/docs/current/reference/html/#repositories.single-repository-behavior

（3）通过BeanPostProcessor和受限的QueryMethodEvaluationContextProvider重新配置存储工厂bean；

（4）在调用查询方法时过滤用户输入内容。

更多修复建议请参考官方发布的安全建议文档：

https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980

【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

原文始发于微信公众号（第59号）：【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

用友-政务-FileDownload-任意文件读取漏洞复现