漏洞概述
2022年6月20日,墨菲安全实验室监测到 Spring Data MongoDB 存在 SpEL 表达式注入漏洞。
Spring Data MongoDB 是基于 Spring 编程模型为 MongoDB 提供接口抽象和通用性模型。 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时,如果没有对用户输入进行过滤处理,可能会导致 SpEL 表达式注入漏洞。
-
漏洞评级:高危
-
影响组件:org.springframework.data:spring-data-mongodb
-
影响版本:Spring Data MongoDB = 3.4.0;3.3.0 <= Spring Data MongoDB <= 3.3.4;其他旧的、不受支持的版本也会受到影响
修复建议
目前此漏洞官方已经修复,建议您尽快升级至修复版本:
-
Spring Data MongoDB 3.4.1版本
-
Spring Data MongoDB 3.3.5版本
漏洞参考链接:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全
【使用墨菲安全的开源工具帮您快速检测代码安全】
墨菲安全旗下开源组件安全检测产品,为帮助每一个开发者更安全的使用开源代码,核心引擎已开源,欢迎广大开发者使用!
开源地址:https://github.com/murphysecurity/murphysec
产品官网:https://murphysec.com
IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~
CLI工具:
控制台详情:
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。