服务公告
Spring Cloud Function SpEL表达式注入漏洞预警
2022-03-28
一、概要
近日,华为云关注到Spring Cloud官方发布安全公告,披露在 Spring Cloud Function特定版本中存在SpEL表达式注入漏洞。未经身份认证的攻击者通过构造特定的数据包,在特定的HTTP请求头中注入恶意的SpEL表达式,最终实现远程任意代码执行。目前漏洞POC已公开,风险较高。
Spring Cloud Function是基于Spring Boot的函数框架。华为云提醒使用Spring Cloud Function的用户及时安排自检并做好安全加固。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
v3.0.0.RELEASE <= Spring Cloud Function <= v3.2.2
安全版本:
目前官方仅发布了安全补丁,暂未发布安全版本
四、漏洞处置
目前官方已发布修复补丁,建议受影响的用户应用补丁进行临时规避:
注:修复漏洞前请将资料备份,并进行充分测试。
华为云安全持续监测此漏洞及其变种攻击,有使用如下华为云安全服务的用户可开启防护功能:
华为云WAF具备对利用此漏洞攻击的检测与防御能力,标准版及以上规格可满足,支持局点有:北京一、北京四、乌兰察布一、上海一、上海二、广州、广州友好、贵阳一、香港、曼谷、新加坡、约翰内斯堡、墨西哥一、墨西哥二、圣保罗一、圣地亚哥。开通成功后将“Web基础防护”状态设置为“拦截”模式即可,具体方法请参见配置Web基础防护规则。
华为云漏扫服务VSS能够检测网站是否存在该漏洞。华为云VSS用户可以在VSS控制台,资产列表->网站->新增域名,启动扫描,等待任务结束,查看扫描报告即可。具体参见用户指南。
