近日,绿盟科技 CERT 监测到 Spring Cloud 官方修复了一个 Spring Cloud Function 中的 SPEL 表达式注入漏洞,由于 Spring Cloud Function 中 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进 行处理,造成了 Spel 表达式注入漏洞,攻击者可利用该漏洞远程执行任意代码。目前漏洞 PoC 已公开,请相关用户采取措施进行防护。
Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它抽象出所有传输细 节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
影响版本:
3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
注:发布时间为 2019 年 11 月 22
U-Center2.0不涉及该漏洞,可参考漏洞报告进行漏洞修复,不影响 U-Center2.0 功能。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作