Spring Data MongoDB SpEL 表達(dá)式注入漏洞
- CNNVD編號(hào):未知
- 危害等級(jí): 未知
- CVE編號(hào):CVE-2022-22980
- 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
- 威脅類型:未知
- 廠 商:未知
- 漏洞來(lái)源:深信服
- 發(fā)布時(shí)間:2022-06-24
- 更新時(shí)間:2022-06-24
漏洞簡(jiǎn)介
近日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Spring Data MongoDB 組件存在 SpEL 表達(dá)式注入漏洞的信息,漏洞編號(hào):CVE-2022-22980,漏洞威脅等級(jí):高危。
當(dāng)使用 @Query 或 @Aggregation 注解進(jìn)行查詢時(shí),若通過(guò) SpEL 占位符獲取輸入?yún)?shù),并且未對(duì)用戶輸入進(jìn)行有效過(guò)濾,則可能受該漏洞影響。攻擊者可利用該漏洞,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼,最終獲取服務(wù)器權(quán)限。
漏洞公示
暫無(wú)
參考網(wǎng)站
https://tanzu.vmware.com/security/cve-2022-22980
受影響實(shí)體
Spring Data MongoDB 3.4.0
3.3.0 ≤ Spring Data MongoDB ≤ 3.3.4
更早或不再受支持的版本也受到此漏洞影響
補(bǔ)丁
暫無(wú)
