关于Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)的预警提示

文章目录

          • 一、漏洞详情
          • 二、影响范围
          • 三、修复建议
            • 3.1. 补丁升级
            • 3.2. 缓解措施

一、漏洞详情

Spring Data for MongoDB是Spring Data项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。

VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL表达式注入漏洞(CVE-2022-22980)。

Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggregation注解的查询方法进行值绑定时,如果输入未被过滤,则容易受到SpEL注入攻击。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Spring Data MongoDB == 3.4.0

3.3.0 <= Spring Data MongoDB <= 3.3.4

旧的、不受支持的版本也会受到影响

三、修复建议

目前,VMware官方已发布漏洞修复补丁,建议用户尽快下载安装补丁程序或采取缓解措施。

3.1. 补丁升级

建议尽快升级至官方修护版本:

Spring Data MongoDB 3.4.1版本:

https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1

Spring Data MongoDB 3.3.5版本:
https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5

3.2. 缓解措施

(1)如果您的应用程序需要使用由用户输入控制的SpEL表达式,那么使用数组形式语法“[0]”引入SpEL参数而不是“?0”形式;

(2)实现自定义存储库方法,详见:https://docs.spring.io/spring-data/mongodb/docs/current/reference/html/#repositories.single-repository-behavior;

(3)通过BeanPostProcessor和受限的QueryMethodEvaluationContextProvider重新配置存储工厂bean;

(4)在调用查询方法时过滤用户输入内容。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/515011.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

被Python「苦虐」的日子太惨了!

Python因为其优越的特性广泛应用于数据分析、人工智能、Web开发、后端开发、自动化测试/运维、爬虫等领域&#xff0c;也得到了很多企业的青睐。甚至连BATZJ的技术大牛&#xff0c;都无可否认Python现在对于一个程序员发展的重要性&#xff01;最近一两年&#xff0c;我身边也有…

阿里云肖力:原生安全打造云上绿洲

2020年9月17日-18日&#xff0c;一年一度的云栖大会在云上如约而至。疫情加速数字化转型大背景之下&#xff0c;云原生以一种高能见度为各行业带来了一个更动态多变、更具效率和生命力的架构。云原生安全具有什么优势&#xff0c;能否解决线下业务场景的安全困局&#xff1f;作…

在springboot项目中执行linux shell命令实现office转pdf 在线预览

文章目录1. 格式转换2. 在线预览1. 格式转换 package com.gblfy.office.utils;import org.apache.commons.io.IOUtils;import javax.servlet.http.HttpServletResponse; import java.io.*;/*** author gblfy* Date : 2022-11-05 11:20* describe: 文档在线预览* <p>* 服…

Nacos Go 微服务生态系列(一)| Dubbo-go 云原生核心引擎探索

简介&#xff1a; 作为微服务框架的核心引擎--注册中心&#xff0c;是必不可缺少的组件&#xff0c;市面已经有多款注册中心支持 Go 语言&#xff0c;应该如何选择呢&#xff1f;我们可以对目前主流的支持 Go 语言的注册中心做个对比。 作者 | 李志鹏 近几年&#xff0c;随着 …

微软每年豪砸安全研发 10 亿美元,聊聊背后的技术密码

从无序中寻找踪迹&#xff0c;从眼前事探索未来。正值 IT 黄金十年新开端&#xff0c; CSDN 欲以中立技术社区专业、客观的角度&#xff0c;深度探讨中国前沿 IT 技术演进&#xff0c;现在推出年度重磅企划——「拟合」&#xff0c;通过对话企业高管大咖&#xff0c;跟踪报道企…

Chrome浏览器直接下载pdf文件的设置步骤

使用Google Chrome浏览器&#xff0c;在点击网页中的pdf文件时&#xff0c;浏览器会直接将pdf文件打开并显示&#xff0c;要下载pdf文件的话&#xff0c;还需要进行另存操作。 有的时候我们点击pdf文件就是为了直接下载&#xff0c;而不是为了在浏览器中查看pdf文件。可以按以…

Bilibili资深运维工程师:DCDN在游戏应用加速中的实践

简介&#xff1a; bilibili资深运维工程师李宁分享《DCDN在游戏应用加速中的实践》从bilibili游戏应用的效果和成本入手&#xff0c;深入浅出地分享DCDN全站加速在游戏加速场景中的应用。 日前&#xff0c;云栖大会新一代CDN的技术突破与应用实践专场中&#xff0c;bilibili资…

java安全编码指南之:可见性和原子性

简介 java类中会定义很多变量&#xff0c;有类变量也有实例变量&#xff0c;这些变量在访问的过程中&#xff0c;会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。 不可变对象的可见性 不可变对象就是初始化之后不能够被修改的对象&#xff0c;那…

Gartner:云安全的未来——中国的安全访问服务边缘架构

作者 | Gartner高级研究总监 Evan Zeng 编辑 | 宋 慧 头图 | 付费下载于东方IC Gartner最新的“安全领域新兴技术及趋势影响雷达”&#xff08;Emerging Technologies and Trends Impact Radar: Security&#xff09;显示&#xff0c;安全服务及接入边缘技术具有极高重要性&am…

springboot word excel ppt 图片aspose 转换PDF 在线预览

文章目录1. 引入依赖2. 注册工具类3. 文件转换工具类4. 文件预览工具类5. 文件处理实现类6. 文件处理入口7. 配置类8. 配置文件9. 依赖目录文件列表10. 图片转换工具类11. 测试连接12. 效果图12. 执行shell命令工具类补充1. 引入依赖 下载 Aspose 的依赖 Jar 包可以通过一下仓…

架构制图:工具与方法论

简介&#xff1a; 软件工程也是工程&#xff0c;因此传统工程制图的一些基本理论&#xff0c;在软件行业同样适用。但另一方面&#xff0c;软件与实体制造业之间还是有着本质区别&#xff0c;所以在制图方面的需求和方式也大相径庭&#xff0c;无法直接套用。作为软件行业的从业…

Gartner:云安全的未来,是安全访问服务边缘架构

作者 | Gartner高级研究总监 Evan Zeng编辑 | 宋 慧头图 | 付费下载于东方ICGartner最新的“安全领域新兴技术及趋势影响雷达”&#xff08;Emerging Technologies and Trends Impact Radar: Security&#xff09;显示&#xff0c;安全服务及接入边缘技术具有极高重要性&#x…

奥哲孟凡俊:低代码平台对当代企业智能管理的支撑

简介&#xff1a; 导读&#xff1a;在数字化时代&#xff0c;业务拓展快&#xff0c;迭变快将成为常态和主流&#xff0c;企业数字化转型除了企业内部协同提效之外&#xff0c;基于多项底层技术框架的低代码平台更是智能协作不可或缺的底层支持&#xff0c;奥哲高级副总裁兼奥哲…

yarn 不是内部或外部命令,也不是可运行的程序(亲测可用)

这个时候报 yarn 不是内部或外部命令 相信你的npm已经安装好了 方法一&#xff08;网上大多数是这个&#xff09;&#xff1a; npm install -g yarn方法二&#xff08;我的是这个&#xff09;&#xff1a;配置环境变量&#xff08;你的yarn地址直接复制上去就好了&#xff09…

基于 Flink + Hive 构建流批一体准实时数仓

简介&#xff1a; 想要搭建流式链路就必须得抛弃现有的 Hive 数仓吗&#xff1f;并不是&#xff0c;借助 Flink 可以实现已有的 Hive 离线数仓准实时化。本文整理自 Apache Flink Committer、阿里巴巴技术专家李劲松的分享&#xff0c;文章将分析当前离线数仓实时化的难点&…

腾讯云~kafka伪集群搭建

文章目录一、zookeeper伪集群搭建1. 下载安装包2. 解压安装包3. 创建目录4. 修改配置文件5. 修改dataDir&#xff0c;clientPort两个配置项5. 在data目录下创建myid文件6. 复制多个zookeeper7. 修改内存大小8. 启动zookeper9. 查看zookeeper运行状态二、kafka 伪集群搭建2.1. 下…

脚本征集大赛开启啦!100%有奖!

对一个程序爱好者来说&#xff0c;最酷的事情莫非就是用你喜欢的语言一步步实现你的idea&#xff0c; 现在用 CSDN 浏览器助手插件&#xff0c; 不仅能提升浏览器效率&#xff0c;还能在上面开发黑科技脚本&#xff0c;帮助你实现各种 idea~

蚂蚁御术:我的前端十年成长之路

我是御术&#xff0c;10年北邮毕业参加工作至今&#xff0c;刚好10年。一直觉得自己特别幸运&#xff0c;一路走来遇到了那么多好人好事&#xff0c;有机会一同做了点事情&#xff0c;由衷感激家人朋友们的支持和帮助。 自以为每一个人的发展轨迹都是不可复制的&#xff0c;过…

vue将json字符串转换为数组_json字符串、json对象、数组 三者之间的转换

var Obj JOSN.parse(“cscac”); //将JSON字符串转换成JSON对象 var “cscac” JSON.stringify(Obj) //将JSON对象转换成JSON字符串 将json对象转换成json数组 let obj JSON.parse(ress);const userinfo[];for (let i in obj ){userinfo.push(obj [i])}console.log(userinf…

看动画学算法之:排序-基数排序

简介 之前的文章我们讲了count排序&#xff0c;但是count排序有个限制&#xff0c;因为count数组是有限的&#xff0c;如果数组中的元素范围过大&#xff0c;使用count排序是不现实的&#xff0c;其时间复杂度会膨胀。 而解决大范围的元素排序的办法就是基数排序。 基数排序…