漏洞概述
2022年6月20日,OSCS 监测到 Spring Data Mon goDB 存在 SpEL 表达式注入漏洞。
Spring Data MongoDB 是基于 Spring 编程模型为 MongoDB 提供接口抽象和通用性模型。 应用程序在使用带有 SpEL 表达式的 @Query 或@Aggregation-annotated 查询方法时,如果没有对用户输入进行过滤处理,可能会导致 SpEL 表达式注入漏洞。
-
漏洞评级:高危
-
影响组件:org.springframework.data:spring-data-mongodb
-
影响版本:
- Spring Data MongoDB = 3.4.0
- 3.3.0 <= Spring Data MongoDB <= 3.3.4
- 其他旧的、不受支持的版本也会受到影响
更多漏洞详细信息可进入OSCS社区查看:www.oscs1024.com/hd/MPS-2022…
修复建议
目前此漏洞官方已经修复,OSCS建议您尽快升级至修复版本:
- Spring Data MongoDB 3.4.1版本
- Spring Data MongoDB 3.3.5版本
或使用墨菲安全的 IDE 插件帮您快速检测并一键修复(Jetbrains IDE 插件市场搜索 murphysec 安装检测插件)
了解更多
基于现行的法律法规约束下,OSCS (开源软件供应链安全社区)社区会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。社区用户可通过邮件、企微、钉钉、飞书等订阅情报信息,如果您是开源项目作者也可加入 OSCS 社区守护计划。
-
社区官网:www.oscs1024.com
