抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2022-22963:Spring Cloud Function 中由恶意 Spring 表达式导致的远程代码执行
描述
在 Spring Cloud Function 3.1.6、3.2.2 及更早的未受支持版本中,当使用路由功能时,用户可能提供精心设计的 SpEL 作为路由表达式,这可能导致远程代码执行并访问本地资源。
受影响的 Spring 产品和版本
- Spring Cloud Function
- 3.1.6
- 3.2.2
- 较旧的、不受支持的版本也受影响
缓解措施
受影响版本的使用者应升级到 3.1.7、3.2.3。无需其他步骤。已修复此问题的版本包括
- Spring Cloud Function
- 3.1.7
- 3.2.3
致谢
此漏洞最初由 m09u3r 发现并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- https://cwe.mitre.org/data/definitions/770.html
- https://cwe.mitre.org/data/definitions/497.html
历史
- 2022-03-29:发布初始漏洞报告。
- 2022-03-31:更新描述、严重性和参考。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略