0day-Spring Cloud Function SPEL advertencia de vulnerabilidad

News 2023-08-16 01:36:42 views: null

Antecedentes de vulnerabilidad 0x01

Spring Cloud Function es un marco informático funcional basado en Spring Boot que abstrae todos los detalles de transporte y la infraestructura, lo que permite a los desarrolladores conservar todas las herramientas y procesos familiares y centrarse en la lógica empresarial.
Recientemente, el Departamento de Seguridad de la Información ha detectado que Spring Cloud ha solucionado oficialmente una vulnerabilidad de inyección de expresión SPEL en Spring Cloud Function, porque el método de aplicación de la clase RoutingFunction en Spring Cloud Function será "spring.cloud.function.routing-expression" en el encabezado de la solicitud El parámetro se procesa como una expresión Spel, lo que genera una vulnerabilidad de inyección de expresión Spel, que un atacante puede aprovechar para ejecutar código arbitrario de forma remota.

Link de referencia:https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

0x02 nivel de riesgo

grave

0x03 afecta la versión

Aplicaciones y componentes afectados conocidos:

?

1

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

0x04 Reaparición de vulnerabilidad

Autoexamen de vulnerabilidad 0x05:

Los usuarios pueden verificar las referencias al componente spring-cloud-function en la aplicación y verificar la versión actual:
si el programa está empaquetado con Maven, puede verificar si los componentes relevantes se introducen en el archivo pom.xml del proyecto:

Para el código del proyecto que usa el componente org.springframework.cloud:spring-cloud-function-context, puede usar el siguiente comando para ver la versión:

?

1

grep-A 2'spring-cloud-function-context'pom.xml

Si la versión actual está en el rango afectado, existe un riesgo de seguridad.

0x06 Sugerencia de reparación

1. Parche de reparación
Actualmente, el funcionario ha lanzado un parche de reparación para esta vulnerabilidad. Actualice a los usuarios afectados lo antes posible para protegerse. Enlace oficial: GH-835 Fix RoutingFunction SpEL evaluación spring-cloud/spring-cloud-function@ 0e89ee2 GitHub

0x07 URL de referencia:

https://blog.csdn.net/Moyun_vackbot/article/details/123821293http://blog.nsfocus.net/spring-cloud-function-spel/ Advertencia de vulnerabilidad SPEL de la función Spring Cloud|Cotton's Blog|Cotton's Blog

Supongo que te gusta

Origin blog.csdn.net/qq_18209847/article/details/123935780
Recomendado
Clasificación
Diario
Más
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)

Code World

© 2018 codetd.com