Spring Cloud Function 3.0.0.RELEASE~3.2.2版本SPEL 表达式注入

实验室昨天第一时间监测到的0day漏洞，目前已上线检测

一、简述

3月25日，墨菲安全实验室监测发现 Spring Cloud Function 修复了 Spel 表达式注入漏洞，已 2022.03.25 日17时提交CNVD，并上线检测能力。

漏洞发现时间：2022-03-24

漏洞验证时间：2022-03-25，已第一时间提交CNVD

标题：Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞

发现方式：墨菲安全实验室情报预警监控

语言：java

影响组件及版本：org.springframework.cloud:spring-cloud-function-context（影响版本：3.0.0.RELEASE~3.2.2）

缺陷前置条件：properties中配置spring.cloud.function.definition=functionRouter

漏洞描述：
Spring Cloud Function 是Spring cloud中的serverless框架。
Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理，造成 Spel 表达式注入漏洞。
攻击者可通过该漏洞执行任意代码。

漏洞类型： Spel 表达式注入漏洞

排查方式：

1. 在项目代码目录中执行以下命令获取 org.springframework.cloud:spring-cloud-function-context 组件版本，且组件版本在【3.0.0.RELEASE~3.2.2】之间

grep -A 2 'spring-cloud-function-context' pom.xml

2. 使用墨菲安全客户端进行检测

处置建议
官方已发布修改补丁，参考链接:https://github.com/spring-clo...
升级 org.springframework.cloud:spring-cloud-function-context 到 3.2.2 的下一版本（待发布）

漏洞评分：8.5

参考链接：https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

二、缺陷分析

通过diff可以发现开发者使用了SimpleEvaluationContext进行SPEL解析，而在此前版本中使用StandardEvaluationContext。

当spring.cloud.function.definition=functionRouter配置开启时，会触发RoutingFunction逻辑，当传入的spring.cloud.function.routing-expression参数可控，SPEL表达式被执行。

三、漏洞防护

目前开发者已提交修复补丁：https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

墨菲安全已于昨天第一时间将漏洞上报CNVD，并同步上线了检测能力，目前墨菲安全开源版及企业版已支持检测，欢迎大家免费使用。

开源地址：https://github.com/murphysecurity
产品官网：https://www.murphysec.com/（限时开放注册）

四、关于

关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技创新公司，能力包括开源组件安全检测、云原生容器安全、开源组件许可证合规管理、软件成分分析(SCA)、软件供应链安全评估等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为、贝壳等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

关于墨菲安全实验室
墨菲安全实验室是墨菲安全旗下的安全研究团队，专注于软件供应链安全相关领域的技术研究，实验室研究方向包括开源组件、闭源软件及其他供应链软件的缺陷分析，从而打造墨菲安全专业的缺陷知识库。