Spring Data MongoDB SpEL 表達式注入漏洞
- CNNVD編號:未知
- 危害等級: 未知
- CVE編號:CVE-2022-22980
- 漏洞類型: 遠程代碼執(zhí)行
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時間:2022-06-24
- 更新時間:2022-06-24
漏洞簡介
近日,深信服安全團隊監(jiān)測到一則 Spring Data MongoDB 組件存在 SpEL 表達式注入漏洞的信息,漏洞編號:CVE-2022-22980,漏洞威脅等級:高危。
當使用 @Query 或 @Aggregation 注解進行查詢時,若通過 SpEL 占位符獲取輸入?yún)?shù),并且未對用戶輸入進行有效過濾,則可能受該漏洞影響。攻擊者可利用該漏洞,構造惡意數(shù)據(jù)執(zhí)行遠程代碼,最終獲取服務器權限。
漏洞公示
暫無
參考網(wǎng)站
https://tanzu.vmware.com/security/cve-2022-22980
受影響實體
Spring Data MongoDB 3.4.0
3.3.0 ≤ Spring Data MongoDB ≤ 3.3.4
更早或不再受支持的版本也受到此漏洞影響
補丁
暫無
