记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

漏洞情报 | Spring Cloud Function SPEL表达式注入漏洞通报

2022-03-27 00:06

近日,Spring Cloud Function官方测试版本通报了一个有关Spring Cloud Function SPEL表达式注入漏洞。利用该漏洞,远程攻击者可通过SPEL表达式注入的方式在远程执行注入攻击。

漏洞描述:

Spring Cloud Function是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。

此次发现的漏洞利用了SPEL表达式注入实现攻击,根据目前已知的信息,访问Spring Cloud Function的HTTP请求头中具有spring.cloud.function.routing-expression。,它的SpEL表达式可进行注入,远程攻击者在注入后可通过 StandardEvaluationContext解析执行远程命令。

影响范围:

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

解决方案:

目前Spring Cloud官方已经推出补丁修复漏洞,受影响用户可以通过官方补丁进行修复。

官方链接:

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f


知识来源: https://www.freebuf.com/vuls/326378.html

阅读:75837 | 评论:0 | 标签:注入 漏洞 情报

想收藏或者和大家分享这篇好文章→复制链接地址

“漏洞情报 | Spring Cloud Function SPEL表达式注入漏洞通报”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁