04
Abr 2022
Alerta de Vulnerabilidades - Spring Cloud Function
TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Spring Cloud Function versões 3.1.6, 3.2.2 e anteriores
ECOSSISTEMA
VMWare
Descrição
Foi publicada uma atualização de segurança na Spring Cloud Function para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22963).
Quando se utiliza a "routing functionality", um utilizador pode injetar uma Spring Expression Language (SpEL) específica como "routing-expression", que pode resultar na execução remota de código e acesso a recursos locais.
Impacto
Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário.
Resolução
Recomenda-se a atualização para as versões Spring Cloud Function 3.1.7 e Spring Cloud Function 3.2.3.
Referências
[1] https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function