freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

漏洞情报 | Spring Cloud Function SPEL表达式注入漏洞通报
2022-03-26 20:44:55
所属地 上海

近日,Spring Cloud Function官方测试版本通报了一个有关Spring Cloud Function SPEL表达式注入漏洞。利用该漏洞,远程攻击者可通过SPEL表达式注入的方式在远程执行注入攻击。

漏洞描述:

Spring Cloud Function是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。

此次发现的漏洞利用了SPEL表达式注入实现攻击,根据目前已知的信息,访问Spring Cloud Function的HTTP请求头中具有spring.cloud.function.routing-expression。,它的SpEL表达式可进行注入,远程攻击者在注入后可通过 StandardEvaluationContext解析执行远程命令。

影响范围:

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

解决方案:

目前Spring Cloud官方已经推出补丁修复漏洞,受影响用户可以通过官方补丁进行修复。

官方链接:

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录