【CVE-2022-22980】Spring Data MongoDB 安全漏洞POC

作者:Sec-Labs | 发布时间:

漏洞介绍

Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。

Spring Data MongoDB存在安全漏洞,该漏洞源于在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响。

POC

https://github.com/trganda/CVE-2022-22980

运行

mvn spring-boot:run

或者使用IDEA打开,然后启动 AccessingDataMongodbApplication

fb82eba9821f

修复方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tanzu.vmware.com/security/cve-2022-22980

标签:漏洞分享, POC脚本