服务公告
Spring Cloud Function SpEL表达式注入漏洞预警
2022-03-28
一、概要
近日,华为云关注到Spring Cloud官方发布安全公告,披露在 Spring Cloud Function特定版本中存在SpEL表达式注入漏洞。未经身份认证的攻击者通过构造特定的数据包,在特定的HTTP请求头中注入恶意的SpEL表达式,最终实现远程任意代码执行。目前漏洞POC已公开,风险较高。
Spring Cloud Function是基于Spring Boot的函数框架。华为云提醒使用Spring Cloud Function的用户及时安排自检并做好安全加固。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
v3.0.0.RELEASE <= Spring Cloud Function <= v3.2.2
安全版本:
目前官方仅发布了安全补丁,暂未发布安全版本
四、漏洞处置
目前官方已发布修复补丁,建议受影响的用户应用补丁进行临时规避:
注:修复漏洞前请将资料备份,并进行充分测试。