芒竹云公告 > 公告详情

【安全通告】Spring Cloud Function 远程代码执行漏洞风险通告(CVE-2022-22963)

发布时间:2022-04-13 08:41:54
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到, Spring Cloud Function被曝出存在远程代码执行漏洞,漏洞编号CVE-2022-22963。可导致远程执行任意代码等危害。目前互联网上已流传出存在相关的漏洞的在野利用,漏洞危害较大。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Spring Cloud Function 是基于 Spring Boot 的函数计算框架。该项目致力于促进函数为主的开发单元,它抽象出所有传输细节和基础架构,并提供一个通用的模型,用于在各种平台上部署基于函数的软件。

由于Spring Cloud Function存在SpEL表达式注入漏洞。远程攻击者无需认证即可构造特定的数据包,并通过特定的 HTTP 请求头注入 SpEL 表达式。最终可导致远程执行任意代码,获取服务器权限。

风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致远程执行任意代码,获取服务器权限
影响版本
Spring Cloud Function =< 3.1.6
Spring Cloud Function =< 3.2.2
及其他不再维护的版本
安全版本
Spring Cloud Function >= 3.1.7
Spring Cloud Function >= 3.2.3
修复建议
官方已发布安全版本,请根据业务情况,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://tanzu.vmware.com/security/cve-2022-22963


/template/Home/qcloud/PC/Static