【高危漏洞通告】Spring Cloud Function SPEL表达式注入漏洞

2022年3月27日02:08:11评论96 views字数 631阅读2分6秒阅读模式

漏洞概述

Spring Cloud Function 是基于Spring Boot 的函数计算框架，它抽象出所有传输细节和基础架构，允许开发人员保留所有熟悉的工具和流程，并专注于业务逻辑。

由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理，造成了Spel表达式注入漏洞，未经授权的远程攻击者可利用该漏洞执行任意代码。

影响范围

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

漏洞利用条件

Spring Cloud Function 项目中引用了 spring-cloud-function-context 组件即可。

处置建议

目前官方已针对此漏洞发布修复补丁，请受影响的用户尽快更新进行防护，官方链接：https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

注：目前官方暂未发布新版本，请持续关注并及时更新：https://github.com/spring-cloud/spring-cloud-function/tags

【高危漏洞通告】Spring Cloud Function SPEL表达式注入漏洞

原文始发于微信公众号（第59号）：【高危漏洞通告】Spring Cloud Function SPEL表达式注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2024-28253 :OpenMetadata

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

发表评论

在线咨询

微信