Ir para conteúdo

Alerta de Vulnerabilidades - Spring Cloud Function

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Spring Cloud Function versões 3.1.6, 3.2.2 e anteriores
ECOSSISTEMA
VMWare
Descrição

Foi publicada uma atualização de segurança na Spring Cloud Function para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22963). 
Quando se utiliza a "routing functionality", um utilizador pode injetar uma Spring Expression Language (SpEL) específica como "routing-expression", que pode resultar na execução remota de código e acesso a recursos locais.

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário.

 

Resolução

Recomenda-se a atualização para as versões Spring Cloud Function 3.1.7 e Spring Cloud Function 3.2.3.

 

Referências

[1] https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function

[2] https://tanzu.vmware.com/security/cve-2022-22963

Última atualização em 13-12-2020