一个修复程序似乎已经被推了,但在稳定的版本中尚不可用
网络安全研究人员已经在弹簧云计算框架中披露了远程代码执行(RCE)缺陷,该缺陷带来了远程攻击风险。
3月28日,Infosec公司NSFOCUS发布了安全咨询描述脆弱性在弹簧云功能中,攻击者可以“提供专门精心制作的春季表达语言(SPEL)作为可能导致对本地资源的路由表达”。
VMware Spring Cloud是弹簧上分布式系统开发人员项目的开源收集,从服务发现到配置管理。春季云功能是一个抽象所有运输细节和基础架构的项目,使开发人员可以专注于根据业务逻辑组件进行应用程序。
弹簧云项目已经开始github。
触发点
根据NSFOCUS的说法,该漏洞是由Spring.Cloud.Function.Routing-Expression请求标头中的参数。使用路由时,该参数作为SPEL表达式处理。
如果受到不足的保护,表达式可以导致表达语言(EL)注射。取决于El注射的严重程度,攻击者可能能够访问服务器端内容,功能性,劫持帐户或更多内容。
在这种情况下,该错误是特别是SPEL注入。研究人员说,这种弹簧云功能脆弱性,被跟踪为CVE-2022-22963并被评为关键(CVSS 9.8),可能会导致远程注射任意代码。
修复
弹簧云功能版本3.1.6、3.2.2,较旧的技术是受影响。
研究人员已经发布了有关该漏洞的详细信息以及概念证明(POC)利用代码。
在Oleg Zhurakousky发布的通知中,开发人员表示,用户需要升级到Spring Cloud功能版本3.1.7或者3.2.3修补安全漏洞。
在写作时,修复被犯下但不属于稳定的分支。换句话说,一个补丁已准备好用于下一个版本,但尚未实现。
你也许也喜欢HTML解析器虫触发铬XSS安全缺陷
