Spring Data MongoDB SpEL表达式注入漏洞风险提示

2022-06-2110

一、背景介绍

6月21日,市委网信办技术支撑单位监测到Spring Data MongoDB SpEL表达式注入漏洞 (CVE-2022-22980)。 

1.1漏洞描述

Spring Data for MongoDB是Spring Data项目的一部分,该项目旨在为新数据存储提供熟悉且一致的基于Spring的编程模型,同时保留特定于存储的特性和功能。Spring Data MongoDB 项目提供与MongoDB文档数据库的集成。

当使用@Query或@Aggregation注解进行查询时,若通过SpEL表达式中形如“?0”的占位符来进行参数赋值,同时应用程序未对用户输入进行过滤处理,则可能受到SpEL表达式注入的 影响,成功利用该漏洞的攻击者可在目标服务器上执行代码。

1.2漏洞编号

CVE-2022-22980

1.3漏洞等级

高危


二、修复建议

2.1受影响版本: 

Spring Data MongoDB==3.4.0

3.3.0 <= Spring Data MongoDB <= 3.3.4 旧的、不受支持的版本也会受到影响 

2.2修复建议:

目前,官方已有可更新版本,建议用户尽快升级至最新版本。

Spring Data  MongoDB 3.4.1 版本: https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1 

Spring Data MongoDB 3.3.5 版本: https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5