监测发现Spring Data MongoDB SpELc存在表达式注入漏洞,不法分子利用该漏洞可获取服务器权限。
Spring Data MongoDB为 Spring Data下的子项目,用于为 MongoDB提供接口服务,便于接入Spring软件生态中使用。
当使用 @Query或 @Aggregation注解进行查询时,若通过 SpEL占位符获取输入参数,并且未对用户输入进行有效过滤,则可能受该漏洞影响。不法分子利用该漏洞,构造恶意数据执行远程代码,最终获取服务器权限。
影响范围
目前受影响的 Spring Data MongoDB版本:
Spring Data MongoDB 3.4.0
3.3.0 ≤ Spring Data MongoDB ≤ 3.3.4
更早或不再受支持的版本也受到此漏洞影响
解决方案
当前官方已发布最新版本,请及时更新升级到最新版本。链接如下:
https://spring.io/projects/spring-data-mongodb
