『Java CVE』CVE-2022-22963: Spring Cloud Function SPEL表达式注入RCE

原创 已于 2022-10-10 15:57:26 修改 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud #java #spel #web安全 #rce

于 2022-07-28 16:29:10 首次发布
本文详细介绍了Spring Cloud Function中的一个安全漏洞,该漏洞允许通过SPEL表达式触发远程代码执行(RCE)。影响范围为3.0.0到3.2.2版本。通过向/functionRouter发送特定POST请求,攻击者可以利用此漏洞。补丁修复主要涉及在处理请求时增加安全性检查,防止未经验证的headers内容。同时,文章提供了复现漏洞的步骤、代码审计过程、POP链以及自动检测脚本,并给出了官方修复的代码对比。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

漏洞简介

/functionRouter路由发送headers带有spring.cloud.function.routing-expression键的POST包时,会触发SPEL解析该键值

影响范围

3.0.0 <= Spring Cloud Function <= 3.2.2

漏洞复现

官方已提供参考PoC

在这里插入图片描述

新建Spring Cloud Function项目

在这里插入图片描述

修改pom为受影响版本

在这里插入图片描述

启动默认Application即可,然后向/functionRouter路由发送恶意包即可

在这里插入图片描述

代码审计

从POST请求传入开始,在org.springframework.cloud.function.web.mvc.FunctionController

Content-Type是x-www-form-urlencoded,因此在form方法设置断点

在这里插入图片描述

进入processRequest处理请求

在这里插入图片描述

processRequest方法获取了post请求的headers和正文,整合成Message对象传入doApply方法

在这里插入图片描述

判断请求如果是RoutingFunction则调用RoutingFunction.apply方法

在这里插入图片描述

最后来到RoutingFunction.route方法,默认function是null,获取headersspring.cloud.function.routing-expression的值,传入functionFromExpression方法

在这里插入图片描述

首先获取了SPEL表达式,也就是headersspring.cloud.function.routing-expression的值,然后传入getValue方法

在这里插入图片描述

然后抽象语法树ast解析SPEL表达式

在这里插入图片描述
最后在ReflectiveMethodExecutor.class调用反射完成RCE
在这里插入图片描述

POP链

在这里插入图片描述

补丁修复分析

漏洞在于未对headers的内容进行检测,完全信任headers

在V3.2.3中:functionFromExpress内部调用getValve方法解析SPEL时,使用的是headerEvalContext而不是evalContext

在这里插入图片描述

新增加的SimpleEvaluationContext

在这里插入图片描述

SimpleEvaluationContext类相比StandardEvaluationContext类,确保了仅提供安全的操作

自动检测脚本

https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE

参考

https://tanzu.vmware.com/security/cve-2022-22963

https://github.com/spring-cloud/spring-cloud-function/compare/v3.2.2…v3.2.3#diff-01d5affef57305a3034bfb48185f34ae3d21f15e7f389851ac67035f7bd0dc7a

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/126037840
版权声明:本文为原创,转载时须注明出处及本声明

CVE-2022-22947 Spring Cloud Gateway SpEL 表达式注入 RCE漏洞复现
afei001
03-05 4962
当启用和暴露 Gateway Actuator 端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
Spring-Cloud-Function SpEL RCE(VULFOCUS靶场)
qq_44122254的博客
03-29 1522
漏洞描述:Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,未经授权的远程攻击者可利用该漏洞执行任意代码。 漏洞影响: 3.0.
CVE-2022-22963-Spring-Core-RCE图形化利用工具
热门推荐
LiBai'S BLOG
04-01 1万+
CVE-2022-22963 描述:Spring4Shell - Spring Core RCE - CVE-2022-22965 链接:https://github.com/TheGejr/SpringShell 描述:Spring4Shell Proof Of Concept/Information CVE-2022-22965 链接:https://github.com/BobTheShoplifter/Spring4Shell-POC 描述:This includes CVE-2022-22
春秋云境:CVE-2022-22963[漏洞复现]
如有错误感谢斧正
08-10 1420
到2024年8月11日,为期14天的专项国护结束最近都在忙攻防看1day、nday复现,现在有空了写一下靶场的复现。
SpringCloud Function SpEL漏洞复现 (CVE-2022-22963)
oiadkt的博客
04-21 1635
SpringCloud Function SpEL漏洞复现 (CVE-2022-22963)
CVE-2022-22963Spring Cloud Function SpEL 远程代码执行漏洞
m0_59092234的博客
09-02 1022
SpringCloud Function作为SpringCloud家族成员最早在2017年提出,旨在为快速发展的Serverless市场提供一个Spring的接入路径,使用SpringCloud Function进行无服务(我这里直接称为函数式编程)的项目开发可以大大节约成本,同时对于SpringBoot熟悉的人可以迅速上手最近Spring Cloud Function组件爆出0day – SpEL表达式注入导致RCE,官方commit中的test已经公开对应细节。
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析(CVE-2022-22963SpringCloud FunctionSpring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
weixin_45715461的博客
07-10 3488
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
CVE-2022-22963 Spring Cloud Function SpEL命令注入
mirocky的博客
10-26 328
Spring Cloud Function 是基于 Spring Boot的函数计算框架。该项目致力于促进函数为主的开发单元,它抽象出所有传输细节和基础架构,并提供一个通用的模型,用于在各种平台上部署基于函数的软件。在Spring Cloud Function相关版本,存在SpEL表达式注入。恶意攻击者无需认证可通过构造特定的 HTTP 请求头注入 SpEL表达式,最终执行任意命令,获取服务器权限。
Spring Cloud Function SpEL注入漏洞(CVE-2022-22963)分析
AKAMAI_CHINA的博客
01-01 714
2022年3月24日,Pivotal修补了Spring Cloud Function中一个关键的服务器端代码注入漏洞(Spring表达式语言注入),该漏洞有可能导致系统被攻击。
[春秋云镜]CVE-2022-22963
niubi707的博客
11-29 826
[春秋云镜]CVE-2022-22963复现
漏洞复现-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
m0_65454485的博客
08-08 1997
漏洞复现-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
春秋云境:CVE-2022-22963
一只爱吃橙子的羊
01-20 1100
SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 题目链接为:http://ip:port P.S 卡慢不影响拿flag
Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963
chaojixiaojingang
04-06 7756
1.漏洞描述 SpringCloudFunctionSpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
SpringBoot Function 漏洞复现(CVE-2022-22963)
weixin_63960760的博客
10-16 401
Spring Cloud Function 是基于Spring Boot 的函数计算框架 (FaaS,函数即服务,function as aservice),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑.
CVE-2022-22963源码分析与漏洞复现
最新发布
spinage的博客
05-19 985
CVE-2022-22963Spring Cloud Function 框架中的高危远程代码执行(RCE)漏洞,影响版本为 3.1.6、3.2.2 及更早版本。攻击者通过 HTTP 请求头 spring.cloud.function.routing-expression 注入恶意 SpEL 表达式,触发任意代码执行。漏洞的核心在于 RoutingFunction 使用 StandardEvaluationContext 解析表达式,未对用户输入进行安全限制。官方修复方案包括将 StandardEval
vulhub spring 远程命令执行漏洞(CVE-2022-22963
2401_82451607的博客
09-08 541
vulhub spring 远程命令执行漏洞(CVE-2022-22963
Spring Cloud Function SpEL表达式RCE漏洞复现分析
蚁景网安学院
05-05 750
分析了spring-cloud-function可以发现,spring框架的几个由SpEL表达式注入造成的RCE的触发点基本上都很相似,触发类以及触发路由分析对于漏洞挖掘来说都有可以借鉴的地方。
CVE-2022-22947:Spring Cloud Gateway中的SPEL远程代码执行分析
CVE-2022-22947 是一个针对Spring Cloud Gateway的安全漏洞,该漏洞可能导致Spring Cloud Gateway的用户面临远程代码执行(RCE)的风险。Spring Cloud Gateway是一款用于构建API网关的服务,它提供了动态路由、过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值