Spring Cloud Function SpEL表达式注入漏洞
日期:2022-03-31 09:39:34  发布人:教育信息化建设处  浏览量:454

组件介绍

Spring Cloud Function 是来自 Pivotal 的 Spring 团队的新项目,它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像 Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。

漏洞描述

近日,深信服安全团队监测到一则Spring Cloud Function组件存在SpEL表达式注入漏洞的信息,漏洞威胁等级:高危。

该漏洞是由于Spring Cloud Function未对HTTP请求头部数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行漏洞攻击,最终获取服务器最高权限。

影响范围

目前受影响的Spring Cloud Function版本:

3.0.0.M3 <= Spring Cloud Function <=3.2.2

官方修复建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。


 

联系电话:023-42464987 重庆人文科技学院信息化建设中心 版权所有