首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【安全公告】Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980)风险通告

【安全公告】Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980)风险通告

原创
作者头像
腾讯云安全中心
发布2022-06-22 16:42:54
1.7K0
发布2022-06-22 16:42:54
举报
文章被收录于专栏:安全播报安全播报

漏洞描述:

VMWARE官方发布安全公告,披露了Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)。

当使用@Query或@Aggregation注解进行查询时,若通过SpEL表达式中形如“?0”的占位符来进行参数赋值,同时应用程序未对用户输入进行过滤处理,则可能受到SpEL表达式注入的影响,成功利用该漏洞的攻击者可在目标服务器上执行代码。

腾讯安全专家建议受影响的用户尽快升级到安全版本。

漏洞编号:

CVE-2022-22980

漏洞等级:

高危,严重级,CVSS评分8.2

漏洞状态

漏洞细节

POC

EXP

在野利用

未知

已公开

未知

未知

受影响的版本:

Spring Data MongoDB 3.4.0

3.3.0 <= Spring Data MongoDB <= 3.3.4

旧的、不受支持的版本也会受到影响

安全版本:

Spring Data MongoDB >= 3.4.1

Spring Data MongoDB >= 3.3.5

漏洞复现与验证:

腾讯安全专家对公开的POC进行了复现验证
腾讯安全专家对公开的POC进行了复现验证

漏洞修复与缓解方案:

腾讯安全专家建议受影响版本的用户尽快升级到安全版本:

3.4.x 用户应升级到 3.4.1+,3.3.x 用户应升级到 3.3.5+,无需执行其他步骤。

对于无法升级到上述版本的应用程序,可以应用其他缓解措施:

重写查询或聚合声明以在表达式中使用参数引用(“[0]”而不是“?0”)

在调用查询方法之前清理参数。

使用有限的 QueryMethodEvaluationContextProvider 通过 BeanPostProcessor 重新配置存储库工厂 Bean

更多修复建议请参考官方文档:

https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980

腾讯安全解决方案:

  • 腾讯T-Sec容器安全产品已支持检测企业容器资产是否存在Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980);
  • 腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980);
  • 腾讯T-Sec高级威胁检测系统(御界)已支持检测利用Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980)的攻击活动;
  • 腾讯T-Sec云防火墙已支持检测防御利用Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980)的攻击;
  • 腾讯T-Sec Web应用防火墙(WAF)已支持检测防御利用Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980)的攻击。

参考链接:

https://tanzu.vmware.com/security/cve-2022-22980

https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980

时间线:

2022年6月21日,腾讯安全发布安全风险通告,腾讯安全全系列产品已支持检测、防御该漏洞。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云数据库 MongoDB
腾讯云数据库 MongoDB(TencentDB for MongoDB)是腾讯云基于全球广受欢迎的 MongoDB 打造的高性能 NoSQL 数据库,100%完全兼容 MongoDB 协议,支持跨文档事务,提供稳定丰富的监控管理,弹性可扩展、自动容灾,适用于文档型数据库场景,您无需自建灾备体系及控制管理系统。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档