漏洞描述:
近日,Spring Cloud Function官方测试版本通报了一个有关Spring Cloud Function SPEL表达式注入漏洞。利用该漏洞,远程攻击者可通过SPEL表达式注入的方式在远程执行注入攻击。Spring Cloud Function 是基于Spring Boot 的函数计算框架,通过对传输细节和基础架构进行抽象,为开发人员保留熟悉的开发工具和开发流程,使开发人员专注在实现业务逻辑上,从而提升开发效率。访问Spring Cloud Function的 HTTP请求头中存在 spring.cloud.function.routing-expression参数,其 SpEL表达式可进行注入攻击,并通过 StandardEvaluationContext解析执行。最终,攻击者可通过该漏洞进行远程命令执行。
Spring Cloud Function 是一个具有以下高级目标的项目:
-
通过函数促进业务逻辑的实现。
-
将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为 Web 端点、流处理器或任务运行。
-
支持跨 n class="nolink">无服务器 提供商的统一编程模型,以及独立运行(本地或在 PaaS 中)的能力。
-
在无服务器提供程序上启用 Spring Boot 功能(自动配置、依赖注入、指标)。
它抽象出所有传输细节和基础设施,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
目前,Spring Cloud Function 已被许多科技巨头采用,包括 AWS Lambda、Azure、Google Cloud Functions、Apache OpenWhisk,可能还有其他“无服务器”服务提供商。
该漏洞已被归类为 严重 ,CVSS 得分为 9.0(满分 10)。
资产确定:app="vmware-SpringBoot-framework“
参考POC:https://github.com/hktalent/spring-spel-0day-poc
目前官方已针对此漏洞发布修复补丁,请受影响的用户尽快更新进行防护,官方链接:https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
注:目前官方暂未发布新版本,请持续关注并及时更新:https://github.com/spring-cloud/spring-cloud-function/tags
原文始发于微信公众号(数据安全合规交流部落):安全通报】Spring Cloud Function SPEL 远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论