关于我们

质量为本、客户为根、勇于拼搏、务实创新

新闻公告

< 返回

【安全通告】Spring Cloud Function 远程代码执行漏洞风险通告

发布时间:2022-03-29 22:45:57
尊敬的凌梦云用户,您好!
凌梦云安全运营中心监测到, Spring Cloud Function被曝出存在远程代码执行漏洞,漏洞暂未分配CVE编号。可导致远程执行任意代码等危害。目前互联网上已流传出存在相关的漏洞的在野利用,漏洞危害较大。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Spring Cloud Function 是基于 Spring Boot 的函数计算框架。该项目致力于促进函数为主的开发单元,它抽象出所有传输细节和基础架构,并提供一个通用的模型,用于在各种平台上部署基于函数的软件。
由于Spring Cloud Function存在SpEL表达式注入漏洞。远程攻击者无需认证即可构造特定的数据包,并通过特定的 HTTP 请求头注入 SpEL 表达式。最终可导致远程执行任意代码,获取服务器权限。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致远程执行任意代码,获取服务器权限
影响版本
3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
安全版本
官方暂未发布新版本,仅在github仓库中发布了修复commit
修复建议
目前官方仓库最新commit已进行了漏洞的修复,可拉取最新修复代码重新编译打包进行临时修补
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://github.com/spring-cloud/spring-cloud-function
https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f



本文来源:http://uvidc.com/news/content/51.html 复制本文链接 链接已复制
/template/Home/DawnSP0723/PC/Static

立即注册优维数据账号,免费体验多款产品

立即注册
免费备案 故障赔偿 1天免费试用 专属客服 建议反馈

0663-8688680

service@uvidc.com
咨询QQ在线客服
热门产品
云服务器 虚拟主机 负载均衡 域名注册 服务器托管 裸金属服务器
服务支持
注册认证 服务保障 帮助中心 Whois查询 解决方案
账户管理
账号管理 实名认证 订单管理 续费管理 充值付款 提交工单
关于我们
了解我们 官网公告 联系我们 法律声明 友情链接
关注优维数据
官方微信公众号

百度宝塔优维数据测评

Copyright © 2021-2024 uvidc.com All Rights Reserved. 优维数据 版权所有 揭阳市美淘网络科技有限公司 粤ICP备2020081438号

营业执照 | 粤公网安备 44520202000380号 | 中华人民共和国增值电信业务许可证号:B1-20212500 | 工信部备案: 粤ICP备2020081438号

声明:本平台所有机器禁止用于攻击测试、博彩、色情、空间、小说、外挂、病毒、诈骗、钓鱼、VPN、VOIP、挖矿等违法违规用途,一经发现,立即永久关闭并且联合相关单位处理,概不退款。

联系我们

电话咨询

0663-8688680

在线客服

专业销售顾问,在线问您解决上云难题

提交工单

产品问题、技术问题、常见问题快速响应