严重Spring Cloud Function functionRouter SPEL代码执行漏洞(CVE-2022-22963)
CVE编号
CVE-2022-22963
利用情况
EXP 已公开
补丁情况
官方补丁
披露时间
2022-03-25
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
Spring Cloud Function是基于 Spring Boot 的函数框架。由于 Spring Cloud Function 对用户输入的参数安全处理不严,未授权的攻击者可构造特定的数据包,通过特定的 HTTP 请求头进行 SpEL 表达式注入攻击,从而可执行任意的恶意 Java 代码,获取服务权限。