一、背景介绍
6月21日,市委网信办技术支撑单位监测到Spring Data MongoDB SpEL表达式注入漏洞 (CVE-2022-22980)。
1.1漏洞描述
Spring Data for MongoDB是Spring Data项目的一部分,该项目旨在为新数据存储提供熟悉且一致的基于Spring的编程模型,同时保留特定于存储的特性和功能。Spring Data MongoDB 项目提供与MongoDB文档数据库的集成。
当使用@Query或@Aggregation注解进行查询时,若通过SpEL表达式中形如“?0”的占位符来进行参数赋值,同时应用程序未对用户输入进行过滤处理,则可能受到SpEL表达式注入的 影响,成功利用该漏洞的攻击者可在目标服务器上执行代码。
1.2漏洞编号
CVE-2022-22980
1.3漏洞等级
高危
二、修复建议
2.1受影响版本:
Spring Data MongoDB==3.4.0
3.3.0 <= Spring Data MongoDB <= 3.3.4 旧的、不受支持的版本也会受到影响
2.2修复建议:
目前,官方已有可更新版本,建议用户尽快升级至最新版本。
Spring Data MongoDB 3.4.1 版本: https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1
Spring Data MongoDB 3.3.5 版本: https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5