01 漏洞概况
近日,微步情报局捕获到 Spring Data MongoDB SpEL 表达式注入相关漏洞情报,当使用 @Query或@Aggregation 注解进行查询,若查询中允许使用 SpEL 表达式且使用了?0作为占位符,同时应用程序未对用户输入进行过滤处理,则可能受到 SpEL表达式注入的影响,成功利用该漏洞的攻击者可在目标服务器上执行代码。
| Spring Data Mongo 版本 |
是否受影响 |
|
>=3.3.0 & <=3.3.4 |
是 |
| 3.4.0 |
是 |
|
3.0.x/3.1.x/3.2.x |
是 |
版本支持信息请查阅:
https://spring.io/projects/spring-data-mongodb#support
02 漏洞评估
03 检测修复方案
(2)若无法升级到最新版本,且在@Query/ @Aggregation中使用了SpEL语句,有如下两种修复方案:
-
需使用[0]替代?0用于获取参数; -
实现自定义Repository方法,相关链接:https://docs.spring.io/spring-data/mongodb/docs/current/reference/html/#repositories.single-repository-behavior
(3)如果使用了spring-boot-starter-data-mongodb,更新版本的方式(以maven为例)为:
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-mongodb</artifactId><exclusions><exclusion><groupId>org.springframework.data</groupId><artifactId>spring-data-mongodb</artifactId></exclusion></exclusions></dependency><dependency><groupId>org.springframework.data</groupId><artifactId>spring-data-mongodb</artifactId><version>3.3.5</version></dependency>
04 时间线
2022.06.21 官方发布补丁通告2022.06.21 微步情报局捕获该漏洞相关情报
2022.06.21 微步在线威胁感知平台TDP验证可检测该漏洞
2022.06.22 微步在线X企业版/OneEDR支持相关资产排查
2022.06.22 微步情报局发布威胁通告
04 时间线
2022.06.21 官方发布补丁通告2022.06.21 微步情报局捕获该漏洞相关情报
2022.06.21 微步在线威胁感知平台TDP验证可检测该漏洞
2022.06.22 微步在线X企业版/OneEDR支持相关资产排查
2022.06.22 微步情报局发布威胁通告
04 时间线
2022.06.22 微步情报局发布威胁通告
第一时间为您推送最新威胁情报
原文始发于微信公众号(微步在线研究响应中心):威胁通告|Spring Data MongoDB SpEL表达式注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论