错误反映了最近与“ Springshell”问题一起出现的SPEL注入脆弱性

弹簧数据蒙哥多布受到另一个关键的SPEL注入缺陷的命中

更新在Spring Data MongoDB中修补了一个关键的SPEL注入脆弱性,其滥用导致远程代码执行(RCE),该数据为MongoDB提供了对象文档支持和存储库。

成功剥削缺陷(CVE-2022-22980),其接近最大的CVSS得分为9.8,“攻击者可以通过Spring MongoDB流程继承的特权运行任意代码,” Trellix Threat Labs的高级安全研究员Sam Quinn告诉每日swbeplay2018官网ig

First.org在过去30天内可能在野外使用的前10个CVE中排名缺缺口,添加了Quinn及其易于探索和数量利用概念证明可用的导致他“怀疑这种脆弱性将继续上升”。

拼写

春季数据mongoDB这是VMware春季项目的一部分,它与MongoDB集成,MongoDB是一个面向文档的NOSQL数据库平台,拥有26,800多个客户。


有关的Enfilade:MongoDB实例中的开源工具标志勒索软件和机器人感染


Spel - 或春季表达语言- 支持在运行时的查询和操纵对象图。

一个安全咨询VMware发布:“使用@Query或 @gentregation-grognotation-nandotated查询方法的Spring Data MongoDB应用程序很容易受到SPEL注入的影响,该方法具有SPEL表达式,其中包含查询参数占位符,如果输入未经验证,则可以进行价值绑定。”

奎因说:“鉴于服务器是在没有用户输入卫生的情况下配置的,攻击者只需要在数据库搜索字段中输入恶意SPEL表达式即可获得代码执行。”

如果存储库配置为使用cQueryMethodeValuationContextProvider这限制了Spel使用情况。

更新,缓解

NSFocus Tianji Lab的Zewei Zhang发现了这种漏洞,他于2022年6月13日报告了该问题。Spring发布了Spring Data MongoDB的修补版本,3.4.1和3.3.5,仅在6月20日后的七天后。

该缺陷会影响版本3.4.0,3.3.0至3.3.4,以及较旧的,不支持的版本。


阅读更多最新的Java安全新闻


开发人员可以通过重写查询或聚合声明来保护自己以代替更新应用程序,以在表达式中使用参数参考(例如,使用'[0]' 代替 '?0’)。

其他缓解步骤包括在调用查询方法之前对参数进行消毒,并通过A重新配置存储库工厂BEANBeanPostProcessor有限QUERYMETHODEVALAUTURCONTEXTEXTPROVIDER

Trellix威胁实验室已进一步研究了安全漏洞最新,六月错误报告

misspel

春季项目仅在3月才解决另一个关键的SPEL注射漏洞远程代码执行(RCE)缺陷影响弹簧云计算框架

在几天之内,弹簧框架基于Java的核心模块中出现了更危险的RCE错误。被称为“ spring4shell”,此问题源于2010年修补的旧错误。

几天后,Microsoft和Cisa是警告在野外的“ Spring4shell”剥削之前,它出现了威胁行为者正在利用缺陷作为矢量传播Mirai Botnet

Quinn说,Spring4shell脆弱性涉及广泛的攻击表面,“ 60%的Java开发人员依靠Spring用于应用程序,但“添加MongoDB应该显着减少威胁表面的整体体积”,并具有最新的脆弱性。“此外,VMware已有数周的时间可从VMware提供,许多组织可能已经应用了这些修复程序。”


本文于7月6日从Trellix威胁实验室的Sam Quinn评论中更新。


你可能还喜欢gitlab修补了最新安全版本中的关键RCE错误