Spring Data MongoDB 曝出 SpEL 表达式注入漏洞，OSCS开源社区建议开发者进行修复

OSCS让每一个开源项目更安全

漏洞概述

2022年6月20日，OSCS 监测到 Spring Data Mon goDB 存在 SpEL 表达式注入漏洞。

Spring Data MongoDB 是基于 Spring 编程模型为 MongoDB 提供接口抽象和通用性模型。 应用程序在使用带有 SpEL 表达式的 @Query 或@Aggregation-annotated 查询方法时，如果没有对用户输入进行过滤处理，可能会导致 SpEL 表达式注入漏洞。

• 漏洞评级：高危

• 影响组件：org.springframework.data:spring-data-mongodb

• 影响版本：

  • Spring Data MongoDB = 3.4.0
  • 3.3.0 <= Spring Data MongoDB <= 3.3.4
  • 其他旧的、不受支持的版本也会受到影响

更多漏洞详细信息可进入OSCS社区查看：https://www.oscs1024.com/hd/MPS-2022-1110

修复建议

目前此漏洞官方已经修复，OSCS建议您尽快升级至修复版本：

• Spring Data MongoDB 3.4.1版本
• Spring Data MongoDB 3.3.5版本

或使用墨菲安全的 IDE 插件帮您快速检测并一键修复（Jetbrains IDE 插件市场搜索 murphysec 安装检测插件）

了解更多

基于现行的法律法规约束下，OSCS (开源软件供应链安全社区)社区会第一时间发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。社区用户可通过邮件、企微、钉钉、飞书等订阅情报信息，如果您是开源项目作者也可加入 OSCS 社区守护计划。

• 社区官网：https://www.oscs1024.com

• 相关文档：https://www.oscs1024.com/docs/oscs/

• 开源项目：https://github.com/murphysecurity/murphysec