漏洞公告
近日,安恒信息CERT监测到VMware官方发布了安全公告,修复了Spring Data MongoDB的一处SpEL 表达式注入漏洞(CVE-2022-22980),该漏洞允许未经身份验证的攻击者构造恶意数据执行远程代码,最终获取服务器权限。目前官方已发布最新安全版本,建议受影响的用户尽快采取安全措施。
参考链接:
https://tanzu.vmware.com/security/cve-2022-22980
一
影响范围
受影响版本:
Spring Data MongoDB == 3.4.0
3.3.0 <= Spring Data MongoDB <= 3.3.4
更早或不再受支持的Spring Data MongoDB版本也受到此漏洞影响
安全版本:
Spring Data MongoDB >= 3.4.1
Spring Data MongoDB >= 3.3.5
二
漏洞描述
Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新数据存储提供熟悉且一致的基于Spring的编程模型,同时保留特定于存储的特性和功能。
Spring Data MongoDB存在一处SpEL表达式注入漏洞,当使用@Query或@Aggregation注解进行查询时,若通过SpEL表达式中形如“?0”的占位符来进行参数赋值,同时应用程序未对用户输入进行过滤处理,则可能受到SpEL表达式注入的影响,成功利用该漏洞的攻击者可在目标服务器上执行任意代码。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 已公开 | 已公开 | 未知 |
三
缓解措施
高危:目前漏洞细节和利用代码已公开,官方已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本。
官方建议:
1、升级Spring Data MongoDB至安全版本。
下载链接:
https://spring.io/projects/spring-data-mongodb
四
产品防护方案
目前安恒信息防护类产品均已经集成对此漏洞防护能力:
AiLPHA大数据平台&AXDR平台已默认支持对Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)的检测。
明御APT攻击预警平台
APT攻击预警平台已默认支持对Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)的检测。
明御Web应用防火墙
明御Web应用防火墙已默认支持对Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)的防护。
玄武盾websaas
玄武盾websaas目前已经集成了Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)的扫描和防护能力。
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):Spring Data MongoDB SpEL表达式注入漏洞风险提示(CVE-2022-22980)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论