Spring Data MongoDB 曝出 SpEL 表达式注入漏洞,OSCS开源社区建议开发者进行修复

OSCS让每一个开源项目更安全

漏洞概述

2022年6月20日,OSCS 监测到 Spring Data Mon goDB 存在 SpEL 表达式注入漏洞。

Spring Data MongoDB 是基于 Spring 编程模型为 MongoDB 提供接口抽象和通用性模型。 应用程序在使用带有 SpEL 表达式的 @Query 或@Aggregation-annotated 查询方法时,如果没有对用户输入进行过滤处理,可能会导致 SpEL 表达式注入漏洞。

  • 漏洞评级:高危

  • 影响组件:org.springframework.data:spring-data-mongodb

  • 影响版本:

    • Spring Data MongoDB = 3.4.0
    • 3.3.0 <= Spring Data MongoDB <= 3.3.4
    • 其他旧的、不受支持的版本也会受到影响

更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-1110

修复建议

目前此漏洞官方已经修复,OSCS建议您尽快升级至修复版本:

  • Spring Data MongoDB 3.4.1版本
  • Spring Data MongoDB 3.3.5版本

或使用墨菲安全的 IDE 插件帮您快速检测并一键修复(Jetbrains IDE 插件市场搜索 murphysec 安装检测插件)

Spring Data MongoDB 曝出 SpEL 表达式注入漏洞,OSCS开源社区建议开发者进行修复_第1张图片

了解更多

基于现行的法律法规约束下,OSCS (开源软件供应链安全社区)社区会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。社区用户可通过邮件、企微、钉钉、飞书等订阅情报信息,如果您是开源项目作者也可加入 OSCS 社区守护计划。

  • 社区官网:https://www.oscs1024.com

  • 相关文档:https://www.oscs1024.com/docs/oscs/

  • 开源项目:https://github.com/murphysecurity/murphysec

你可能感兴趣的:(mongodb,spring,数据库)