3.https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980
6月20号,VMware发布安全公告,修复了spring Data MongoDB 组件中的一个SpEL表达式注入漏洞,该漏洞的CVSSv3评分为8.2,漏洞编号:CVE-2022-22980,漏洞威胁等级:高危。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggregation注解的查询方法进行值绑定时,若输入未被过滤,则易遭受SpEL注入攻...
漏洞描述 Spring Data for MongoDB为Spring Data下的子项目,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。Spring Data MongoDB为MongoDB提供接口服务,便于接入Spring软件生态中使用。当使用@Query或@Aggregation注解进行查询时,若通过SpEL占位符获取输入参数,并且未对...
腾讯T-SecWeb应用防火墙(WAF)已支持检测防御利用Spring Data MongoDBSpEL表达式注入漏洞(CVE-2022-22980)的攻击。 参考链接: https://tanzu.vmware.com/security/cve-2022-22980 https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-vulnerability-cve-2022-22980 时间线: 2022年6月...
CVE-2022-22980 Spring Data MongoDB SpEL表达式注入漏洞 项目介绍 Spring Data for MongoDB 是 Spring Data 项目的一部分,该项目旨在为新数据存储提供熟悉且一致的基于 Spring 的编程模型,同时保留特定于存储的特性和功能。Spring Data MongoDB 项目提供与 MongoDB 文档数据库的集成。Spring Data MongoDB 的关键功能...
Spring Data MongoDB:Spring Data MongoDB是Spring Data项目的一部分,旨在为MongoDB提供接口抽象和通用性模型,允许开发者以Spring编程模型的方式与MongoDB数据库进行交互。它简化了数据访问层的开发,提供了丰富的查询功能和映射机制。 SPEL表达式(Spring Expression Language):SPEL是一种功能强大的表达式语言,它提供了在运...
Spring Data MongoDB 3.3.5或更高版本。 下载链接: https://github.com/spring-projects/spring-data-mongodb/tags 参考材料 1.https://tanzu.vmware.com/security/cve-2022-22980 2.https://xz.aliyun.com/t/11478 3.https://spring.io/blog/2022/06/20/spring-data-mongodb-spel-expression-injection-...
1383 -- 2:03 App CVE-2022-23131 Zabbix身份认证绕过漏洞复现 467 -- 1:39 App CVE-2022-25491 HMS v1.0 appointment.php editid参数SQL注入漏洞复现 1125 2 2:04 App CVE-2022-28346 Django SQL注入漏洞复现 910 -- 3:21 App CVE-2023-21839漏洞本地复现 675 -- 11:02 App QVD-2023-6271...
VMware在6月20日发布安全公告,修复了Spring Data MongoDB组件中的一个SpEL表达式注入漏洞,漏洞编号CVE-2022-22980,威胁等级为高危。漏洞允许攻击者通过构造恶意数据执行远程代码,最终获取服务器权限。Spring Data MongoDB应用程序在使用包含查询参数占位符的SpEL表达式的方法时,若输入未被过滤,则容易遭受...
@Query使用 SpEL(Spring表达式语言)注释或@Aggregation使用 SpEL(Spring表达式语言)并在SpEL表达式中使用输入参数引用(?0、?1...)的存储库查询方法的声明spring-data-mongodb依赖Spring Data MongoDB 3.4.0、3.3.0到3.3.4及更早版本 修复建议 ※更新至安全版本:Spring Data MongoDB 3.4.1版本Spring ...