漏洞情报 | Spring Cloud Function SPEL表达式注入漏洞通报
近日,Spring Cloud Function官方测试版本通报了一个有关Spring Cloud Function SPEL表达式注入漏洞。利用该漏洞,远程攻击者可通过SPEL表达式注入的方式在远程执行注入攻击。
漏洞描述:
Spring Cloud Function是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
此次发现的漏洞利用了SPEL表达式注入实现攻击,根据目前已知的信息,访问Spring Cloud Function的HTTP请求头中具有spring.cloud.function.routing-expression。,它的SpEL表达式可进行注入,远程攻击者在注入后可通过 StandardEvaluationContext解析执行远程命令。
影响范围:
3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
解决方案:
目前Spring Cloud官方已经推出补丁修复漏洞,受影响用户可以通过官方补丁进行修复。
官方链接:
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录