棱镜七彩安全预警
近日网上有关于开源项目Spring Cloud Function 存在Dos漏洞的信息,棱镜七彩安全研究院对漏洞进行了POC验证。
项目介绍
Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
项目主页
https://spring.io/projects/spring-cloud-function
代码托管地址
https://github.com/spring-cloud/spring-cloud-function
漏洞情况
由于框架的 Function Catalog 组件中的缓存问题,直接与框架提供的查找功能交互的用户可能会导致拒绝服务条件。
Cve编号
CVE-2022-22979
受影响的版本
<=3.2.5
影响组件及组件托管地址
影响组件:
org.springframework.cloud:spring-cloud-function-core
org.springframework.cloud :spring-cloud-function-context
组件托管地址:
https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-function-core
https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-function-context
修复方案
目前厂商已发布升级补丁以修复漏洞。
链接地址:
https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6