搶先一步
VMware 提供訓練和認證,以加速您的進度。
深入了解Spring Security 安全性建議
CVE-2022-22963:透過惡意的 Spring Expression 在 Spring Cloud Function 中執行遠端程式碼
描述
在 Spring Cloud Function 3.1.6、3.2.2 和舊版不受支援的版本中,當使用路由功能時,使用者可以提供特製的 SpEL 作為 routing-expression,這可能會導致遠端程式碼執行和存取本機資源。
受影響的 Spring 產品和版本
- Spring Cloud Function
- 3.1.6
- 3.2.2
- 較舊且不受支援的版本也會受到影響
緩解措施
受影響版本的用戶應升級到 3.1.7、3.2.3。 無需其他步驟。 已修復此問題的版本包括
- Spring Cloud Function
- 3.1.7
- 3.2.3
功勞
此漏洞最初由 m09u3r 發現並負責回報。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- https://cwe.mitre.org/data/definitions/770.html
- https://cwe.mitre.org/data/definitions/497.html
歷史記錄
- 2022-03-29:發布初始漏洞報告。
- 2022-03-31:更新描述、嚴重性和參考資料。
報告漏洞
若要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性原則