组件介绍

Spring Cloud Function 是来自 Pivotal 的 Spring 团队的新项目，它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型，用于在各种平台上部署基于函数的软件，包括像 Amazon AWS Lambda 这样的 FaaS（函数即服务，function as a service）平台。

漏洞描述

近日，深信服安全团队监测到一则Spring Cloud Function组件存在SpEL表达式注入漏洞的信息，漏洞威胁等级：高危。

该漏洞是由于Spring Cloud Function未对HTTP请求头部数据进行有效的验证，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行漏洞攻击，最终获取服务器最高权限。

影响范围

目前受影响的Spring Cloud Function版本：

3.0.0.M3 <= Spring Cloud Function <=3.2.2

官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。