漏洞预警|Spring Cloud Function 存在Dos漏洞

最新推荐文章于 2023-05-11 15:36:41 发布
最新推荐文章于 2023-05-11 15:36:41 发布
阅读量339 收藏
点赞数
分类专栏: 漏洞预警 开源安全治理工具 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/125673993
版权

棱镜七彩安全预警

近日网上有关于开源项目Spring Cloud Function 存在Dos漏洞的信息,棱镜七彩安全研究院对漏洞进行了POC验证。

项目介绍

Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。

项目主页

https://spring.io/projects/spring-cloud-function

代码托管地址

https://github.com/spring-cloud/spring-cloud-function

漏洞情况

由于框架的 Function Catalog 组件中的缓存问题,直接与框架提供的查找功能交互的用户可能会导致拒绝服务条件。

Cve编号

CVE-2022-22979

受影响的版本

<=3.2.5

影响组件及组件托管地址

影响组件:

org.springframework.cloud:spring-cloud-function-core

org.springframework.cloud :spring-cloud-function-context

组件托管地址:

https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-function-core

https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-function-context

修复方案

目前厂商已发布升级补丁以修复漏洞。

链接地址:

https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud Function实践入门
zhulier1124的博客
08-29 1万+
SpringCloud Function作为SpringCloud家族成员最早在2017年提出,项目主要负责人为Mark Fisher,目前已经来到了3.0版本。SpringCloud Function的出现旨在为快速发展的Serverless市场提供一个Spring的接入路径,使用SpringCloud Function进行无服务(我这里直接称为函数式编程)的项目开发可以大大节约成本,同...
Spring又爆高危漏洞,迫切需要提升企业开源软件治理能力
HarmonyCloud_的博客
03-31 1749
2022年3月28日,Spring官方发布了一则消息,暴露Spring核心框架具有Dos漏洞:CVE-2022-22950。 Spring在Java中的地位超然,该漏洞会影响到几乎所有的Spring系列组件,例如常见的SpringBoot和SpringCloud等,并且spring系列组建被广泛运用与业务系统开发,覆盖面极广。 同时,该漏洞是一种潜在的漏洞,但是利用该漏洞进行该攻击服务的手段的门槛较高,需要利用可控可执行的SPEl(SpringExpressionLanguage,Spring表达式语言
SpringBoot项目在DOS窗口快速启动
卓汶的博客
10-03 340
注意:jar支持命令行启动需要依赖maven插件支持,请确认打包时是否具有SpringBoot对应的maven插件。这样springboot就运行啦!
Spring爆出“核弹”级高危漏洞-复现
JavaPub
03-30 6803
文末 3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响 文章目录导读事件回顾临时方案1:WAF临时策略临时方案2:临时缓解措施细数Spring漏洞危机的启示复现 参考: netsecurity.51cto.com/article/705255.html 导读 昨晚,又一枚重磅炸弹在技术圈里引爆,不,这次不是Log4j,而是Spr
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 696
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
Spring Cloud 微服务权限系统搭建教程 脚手架
07-21
"Spring Cloud 微服务权限系统搭建教程 脚手架" Spring Cloud 是一个基于 Java 的微服务架构开发框架,旨在简化分布式系统的开发和部署。FEBS Cloud 是基于 Spring Cloud Hoxton.RELEASE、Spring Cloud OAuth2、...
Spring Cloud alibaba 集成 SkyWalking 日志 以及告警邮件
12-15
使用邮件请在gateway模块配置文件中配置自己的邮箱信息 跟着课件学习的,启动服务可能需要关联启动:nacos sentinel seata skywalking其中某些中间件 ...集成的比较乱,有什么问题可以私信我,学完了,开心~
Java Spring Cloud Data Flow简介
最新发布
01-05
**Spring Cloud Data Flow (SCDF)** 是一个强大的工具,专为构建数据集成和实时数据处理管道而设计。它基于 **Spring Boot** 应用程序,利用 **Spring Cloud Stream** 和 **Spring Cloud Task** 框架,使得开发数据...
spring cloud sleuth 全链路追踪 demo
10-25
**Spring Cloud Sleuth 全链路追踪 Demo** Spring Cloud Sleuth 是一个强大的工具,它集成了分布式系统的日志跟踪,提供了全链路追踪的能力。在微服务架构中,理解请求在不同服务之间的流转过程变得尤为复杂,...
基于 Spring Cloud 的开源可分布式物联网 (IOT) 平台
01-02
**基于 Spring Cloud 的开源可分布式物联网 (IOT) 平台——DC3 深度解析** DC3,全称为 Distributed IoT Platform,是一款强大的开源物联网(IOT)平台,旨在简化和加速物联网项目的开发与部署过程。它充分利用了 ...
hello-fun:示例Spring Cloud Function应用程序
02-18
你好乐趣模板仓库 该模板存储库提供了一个基于Spring Boot和Spring Cloud Function的简单Hello Web应用程序。 它可以部署为独立的Web应用程序,Kubernetes部署和服务或Knative服务。 代码 注意:为Java 11配置了项目,如果使用的是Java 8,则修改pom.xml的java.version属性。 该项目包含以下内容: . ├── README.md ├── mvnw ├── mvnw.cmd ├── pom.xml └── src ├── main │   ├── java │   │   └── com │   │   └── example │   │   └── helloapp │   │   └── HelloAppAppl
Spring系列学习之Spring Cloud Function微服务功能目标实现
m0_67403240的博客
04-27 405
英文原文:https://cloud.spring.io/spring-cloud-function/ 目录 Spring Cloud Function 特性 发布版本 示例项目 Spring Cloud Function Spring Cloud Function是一个具有以下高级目标的项目: 通过功能促进业务逻辑的实现。 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为Web端点,流处理器或任务运行。 支持无服务器提供商之间的统一编程模型,以及独立运行(本地或PaaS)的能
Spring Cloud function CVE-2022-22963
王嘟嘟的博客
04-14 3520
0x00 前言 洞出来了有一段时间了,还是简单的来看一下。 0x01 概述 1.Spring Cloud function 主要功能: 通过功能促进业务逻辑的实现。 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为Web端点,流处理器或任务运行。 支持无服务器提供商之间的统一编程模型,以及独立运行(本地或PaaS)的能力。 在无服务器提供商上启用Spring Boot功能(自动配置,依赖注入,指标)。 2.影响版本 3 <= 版本 <= 3.2.2 0x02 漏
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 838
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
CVE-2022-22963 SpringCloud Function SpEL注入漏洞分析
阿道夫的博客
01-30 2220
在研究分析了CVE-2022-22980 Spring Data MongoDBSpEL表达式注入漏洞之后,想起之前在spring4shell爆出之前,存在SpringCloudFunction中的一个SpEL表达式注入漏洞,编号为CVE-2022-22963。在这里对其进行一波分析和学习。
Spring Cloud Function 注入漏洞POC
苏落is菜鸡的博客
04-01 405
Spring Cloud Function 注入漏洞POC
漏洞复现----43、Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)
七天
06-30 1281
Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)
Spring Cloud 再爆高危漏洞.... 赶紧修复
终码一生
03-07 5139
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。。 2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947: 版本/分支/tag:3.4.X 问题描述: Spring Cloud Gateway 是 Spring Cloud .
Spring Cloud 再爆高危漏洞.... 赶紧修复!!
Java 架构师之路
03-11 201
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达 大家好,我是燕子Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。...
360安全报告:2020年网络安全漏洞年度回顾
5. 漏洞视角:从不同角度分析了各类漏洞,如安全产品漏洞、序列化漏洞、协议级漏洞、浏览器漏洞和操作系统漏洞。 6. 安全建议:提出了公共安全建议,以及针对特定漏洞视角和漏洞管理的安全策略。 7. 重点漏洞回顾:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值