Spring Cloud Function 任意代码执行漏洞的紧急预警
发布时间:2022-04-01
点击数:
一、安全预警
近期,发现 Spring Cloud Function 存在任意代码执行漏洞。 Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它 抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的 工具和流程,并专注于业务逻辑。应用范围较广,因此威胁影响 范围较大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称:Spring Cloud Function 任意代码执行漏洞
威胁类型:任意代码执行
威胁等级:高
受影响的应用版本:• 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
(二)漏洞描述
由于 Spring Cloud Function 对用户输入的参数安全处理不 严,未授权的攻击者可构造特定的数据包,通过特定的 HTTP 请求头进行 SpEL 表达式注入攻击,从而可执行任意的恶意 Jav a 代码,获取服务权限。
(三)影响范围
• 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
三、防范建议
(一)解决方案
参考漏洞影响范围进行排查,官方已针对此漏洞发布修复补 丁,请受影响的用户尽快修复。官方链接:
https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危害;
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接