【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)

admin 2022年6月30日23:42:24安全漏洞评论11 views1113字阅读3分42秒阅读模式
1
漏洞概述

美创安全实验室监测到Spring Data MongoDB SpEL表达式注入漏洞,漏洞编号:CVE-2022-22980,漏洞等级:高危,漏洞评分:8.2

当使用@Query@Aggregation注解进行查询时,若通过SPEL表达式中形如“?0”的占位符来进行参数赋值,同时应用程序未对用户输入进行过滤处理,则可能受到SPEL表达式注入的影响,进而可造成远程代码执行

对此,美创安全实验室建议用户尽快将Spring Data MongoDB更新至安全版本。

2
影响版本
Spring Data MongoDB == 3.4.0
1.0.0 <= Spring Data MongoDB <= 3.3.4

旧的、不受支持的版本也会受到影响

3
安全版本

Spring Data MongoDB >= 3.4.1

Spring Data MongoDB >= 3.3.5
4
处置建议

目前,VMware官方已发布漏洞修复补丁,建议用户尽快下载安装补丁程序或采取缓解措施。

1.补丁升级

建议尽快升级至官方修护版本:

Spring Data MongoDB 3.4.1版本:

https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1

Spring Data MongoDB 3.3.5版本:

https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5

2. 缓解措施

(1)如果您的应用程序需要使用由用户输入控制的SpEL表达式,那么使用数组形式语法“[0]”引入SpEL参数而不是“?0”形式;

(2)实现自定义存储库方法,详见:

https://docs.spring.io/spring-data/mongodb/docs/current/reference/html/#repositories.single-repository-behavior

(3)通过BeanPostProcessor和受限的QueryMethodEvaluationContextProvider重新配置存储工厂bean;

(4)在调用查询方法时过滤用户输入内容。


更多修复建议请参考官方发布的安全建议文档:

https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980

【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)


【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)

原文始发于微信公众号(第59号):【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月30日23:42:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980) http://cn-sec.com/archives/1134867.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: