【漏洞预警】Spring Data MongoDB SpEL表达式注入漏洞

admin 2022年6月23日08:55:23安全漏洞评论16 views1256字阅读4分11秒阅读模式



1. 通告信息




近日,安识科技A-Team团队监测到一则 Spring Data MongoDB SpEL存在表达式注入漏洞的信息,该漏洞的CVSSv3评分为8.2漏洞编号:CVE-2022-22980,漏洞威胁等级:高危。Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggregation注解的查询方法进行值绑定时,如果输入未被过滤,则容易受到SpEL注入攻击。


2. 漏洞概述




CVECVE-2022-22980

简述:Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggregation注解的查询方法进行值绑定时,如果输入未被过滤,则容易受到SpEL注入攻击。


3. 漏洞危害




Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggregation注解的查询方法进行值绑定时,如果输入未被过滤,则容易受到SpEL注入攻击。


4. 影响版本




目前受影响的 Spring Data MongoDB版本:

Spring Data MongoDB 3.4.0

Spring Data MongoDB 3.3.0 - 3.3.4

以及其它旧的、不受支持的版本。


5. 解决方案




目前此漏洞已经修复,受影响用户可以升级到以下版本:

Spring Data MongoDB 3.4.1或更高版本;

Spring Data MongoDB 3.3.5或更高版本。


下载链接:

https://github.com/spring-projects/spring-data-mongodb/tags


缓解措施:

重写query 或aggregation声明,在表达式中使用参数引用("[0]"而不是"?0");

在调用查询方法前对参数进行过滤;

通过具有受限QueryMethodEvaluationContextProvider的BeanPostProcessor重新配置repository factory bean。


注:当满足以下任一条件时,则不受此漏洞影响:

l@Query或@Aggregation注解方法不包含表达式;
l@Query或@Aggregation注解方法不使用表达式中的参数占位符语法;
l过滤了用户提供的输入;
l存储库配置为使用限制SpEL使用的QueryMethodObservationContextProvider。


6. 时间轴




-20220620 安识科技A-Team团队监测到漏洞公布信息

-20220621 安识科技A-Team团队根据漏洞信息分析

-20220622 安识科技A-Team团队发布安全通告


原文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】Spring Data MongoDB SpEL表达式注入漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月23日08:55:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Spring Data MongoDB SpEL表达式注入漏洞 http://cn-sec.com/archives/1135447.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: