VNG Cloud Logo

[CVE-2022-22963] Spring Cloud Function RCE Vulnerability

Spring Cloud Funtion là một mã nguồn mở Java platform application development framework được sử dụng rộng rãi. Dễ dàng triển khai và hiệu suất cao.

CVE-2022-22963 là một lỗ hổng có thể thực thi mã từ xa trong Spring Cloud Function. Bằng cách gửi request HTTP header  spring.cloud.function.routing-expression với nội dung là 1 SpEL (Spring expression language) có thể được thực thi bởi StandardEvaluationContext .

Các phiên bản bị ảnh hưởng:  
Spring Cloud Function: 3.1.6 ,3.2.2

Các phiên bản cũ hơn hoặc các phiên bản không còn hỗ trợ không bị ảnh hưởng

Chạy JDK >=9

Giảm thiểu rủi ro: 

  • Cập nhật bản mới nhất Spring Cloud Function: 3.1.7 & 3.2.3


Tài liệu tham khảo: