开源漏洞深度分析 | CVE-2022-22980 Spring​ Data MongoDB SpEL表达式注入漏洞

分类:MongoDB作者:棱镜七彩

开源漏洞深度分析

CVE-2022-22980 Spring Data MongoDB SpEL表达式注入漏洞

项目介绍

Spring Data for MongoDB 是 Spring Data 项目的一部分,该项目旨在为新数据存储提供熟悉且一致的基于 Spring 的编程模型,同时保留特定于存储的特性和功能。Spring Data MongoDB 项目提供与 MongoDB 文档数据库的集成。Spring Data MongoDB 的关键功能是以 POJO 为中心的模型,用于与 MongoDB DBCollection 交互并轻松编写 Repository 样式的数据访问层。

项目地址

https://spring.io/projects/spring-data-mongodb

漏洞概述

Spring Data MongoDB为MongoDB提供接口服务,便于接入Spring软件生态中使用。当使用@Query或@Aggregation注解进行查询时,若通过SpEL占位符获取输入参数,并且未对用户输入进行有效过滤,则可能受该漏洞影响。在前述条件下,攻击者可利用该漏洞,构造恶意数据执行远程代码,最终获取服务器权限。

影响版本

Spring Data MongoDB:3.4.0

Spring Data MongoDB:3.3.0-3.3.4

旧的、不受支持的版本也会受到影响

环境搭建

使用threedr3am师傅提供的demo,导入idea直接启动,无需配置数据库,因为该漏洞是在数据库请求之前触发的。

https://github.com/threedr3am/learnjavabug/tree/master/spring/spring-data-mongodb-spel-CVE-2022-22980

漏洞复现

漏洞分析

根据官方漏洞通报,可知当使用@Query或@Aggregation注解进行查询时,若通过SpEL占位符获取输入参数并过滤不当就会造成rce。分析数据流发现该漏洞的核心逻辑位于如下代码中,ParameterBindingJsonReader类负责读取JSON并计算占位符和SpEL表达式。

org.springframework.data.mongodb.util.json.ParameterBindingJsonReader#bindableValueFor

这里有两种情况都可以触发,第一种是当token值(也就是json值)为UNQUOTED_STRING时,也就是json值没有使用引号的时候,另外一种是使用引号时。这两种情况比较类似,这里只分析无引号的情况。

下面代码出现了两个正则匹配的代码。第一个正则代码如下,只能匹配 ?#{} 或者:#{}形式的字符串

匹配成功后则认为是spel表达式格式,然后此时expression是{}中的值,然后接着会判断是否满足 ?\d ,也就是 ?数字。只有符合这种格式才会使用getBindableValueForIndex提取传入的参数,这也是为什么临时修复措施中推荐使用[0]代替?0的原因。

在evaluateExpression中经过多层调用最终会解析执行spel表达式。因此当出现如下格式的注解时,如果参数没有过滤并且使用了存在漏洞的组件库就会造成rce。

修复方式

目前此漏洞已经修复,受影响用户可以升级到以下版本:

Spring Data MongoDB 3.4.1或更高版本

Spring Data MongoDB 3.3.5或更高版本

参考链接

https://tanzu.vmware.com/security/cve-2022-22980

https://github.com/spring-projects/spring-data-mongodb/commit/7c5ac764b343d45e5d0abbaba4e82395b471b4c4

关于我们

棱镜七彩作为国内专业提供开源成分管理及威胁情报服务的创新型科技企业,拥有自主知识产权的开源安全治理工具FossCheck、左移开发安全工具FossEye、开源许可证治理工具FossLicense等产品。产品主要用于帮助对软件中的开源成分进行克隆检测和溯源分析、安全漏洞分析、开源组件管理、自动化策略执行、威胁情报预警及开源软件许可证合规,帮助企业更好的管理开源代码资产、跟踪开源资产安全性和合规性,提高研发效率,降低安全成本,为客户提供领先全面的开源安全与合规治理解决方案。

原文地址:https://blog.csdn.net/LJQClqjc/article/details/125539111

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

mongodb-gridfs下载文件报Sort exceeded memory limit of 104857600 bytes异常
文章浏览阅读552次。com.mongodb.MongoQueryException: Query failed with error code 292 and error message 'Executor error during find command :: caused by :: Sort exceeded memory limit of 104857600 bytes, but did not opt in to external sorting.' on server 11.51.141.63:27017 _mongodb 大文件 下载失败
数据库_mongoDB
文章浏览阅读635次,点赞9次,收藏8次。MongoDB 是一种 NoSQL 数据库,它将每个数据存储为一个文档,这里的文档类似于 JSON/BSON 对象,具体数据结构由键值(key/value)对组成。
MongoDB的日期类型
文章浏览阅读2.1k次。和。_mongodb 日期类型
MongoDB Atlas Vector Search与Amazon Bedrock集成,推动在AWS上构建下一代应用程序
文章浏览阅读1.7k次。Scalestack等客户期待使用MongoDB Atlas Vector Search和Amazon Bedrock构建下一代应用程序
SpringBoot--中间件技术-3:整合mongodb,整合ElasticSearch,附案例含代码(简单易懂)
文章浏览阅读970次。SpringBoot整合中间件mongodb、ES_springboot3 elasticsearch json数据
尚医通 (二十二) --------- MongoDB 简介
文章浏览阅读673次。MongoDB 简介_尚医通sql
Linux中安装MongoDB与使用C#连接Mongo相关经验记录与总结
文章浏览阅读1k次,点赞8次,收藏9次。官网下载MongoDB安装包后进行解压(因了解并不深入,故暂不进行详细说明,自行查找其他安装方法,后期了解深入后将进行该教程的完善)在bin目录下使用命令启动:./mongod --config …/mongodb.conf。该文章任然处于完善中,如果存在错误遗漏的地方,欢迎私信联系。安装相关的nuget包后即可通过以下方法连接数据。YX9010_0@的第二十篇文章。
足够详细的MongoDB教程(1)
文章浏览阅读1.2k次,点赞17次,收藏26次。社交场景, 使用 MongoDB 存储存储用户信息, 以及用户发表的朋友圈信息, 通过地理位置索引实现附近的人, 地点等功能.游戏场景, 使用 MongoDB 存储游戏用户信息, 用户的装备, 积分等直接以内嵌文档的形式存储, 方便查询, 高效率存储和访问.物流场景, 使用 MongoDB 存储订单信息, 订单状态在运送过程中会不断更新, 以 MongoDB 内嵌数组的形式来存储, 一次查询就能将订单所有的变更读取出来.物联网场景, 使用 MongoDB 存储所有接入的智能设备信息, 以及设备汇报的日
【Python语言基础】——Python MongoDB 更新
文章浏览阅读686次。您可以使用 update_one() 方法来更新 MongoDB 中调用的记录或文档。update_one() 方法的第一个参数是 query 对象,用于定义要更新的文档。注释:如果查询找到多个记录,则仅更新第一个匹配项。第二个参数是定义文档新值的对象。_python 更新 mongodb 数据
MONGODB 的基础 NOSQL注入基础
文章浏览阅读1.3k次。首先来学习一下nosql这里安装就不进行介绍 只记录一下让自己了解mongodb。_nosql注入
MongoDB(Windows版)安装
文章浏览阅读4.1k次,点赞8次,收藏7次。在data的目录下,创建一个db文件。因为启动MongoDB服务之前必须创建数据库文件的存放文件夹,否则命令不会自动创建,而且不能启动成功。第一步:安装时,Custom是指可以自定义安装路径,然后傻瓜式安装即可(注意:先不要安装图形化工具,否则安装时间会特别长):如果要想连接成功,必须要开服务,即mongod -dbpath C:MongoDBdatadb的cmd要一直开着。然后回车,ctrl+F输入port找到端口号,一般为:27017。打开命令行,然后找到bin文件地址,并输入。_mongodb windows安装
【数据库】MongoDB数据库详解
文章浏览阅读5.1k次,点赞3次,收藏43次。详细介绍MongoDB数据库的基本知识,安装方法,基本操作,_mongodb数据库
navicat 连接远程mongodb数据库
文章浏览阅读3.2k次。安装教程翻看以往文章。_navicat 连接mongodb
【已解决】mongodb远程连接不上
文章浏览阅读426次,点赞9次,收藏12次。win10开放端口:https://blog.csdn.net/m0_43605481/article/details/119255256。我的是阿里云服务器,所以直接在安全组中加入规则,端口范围:27017,授权对象:0.0.0.0。windows在mongodb安装文件夹的bin文件夹中的mongod.cfg。数据库名字是test,打算创建一个用户,账号aaa,密码bbb,权限readWrite。因为该用户是创建在test数据库的,所以在最后要加上test。O了,然后恢复了test的数据。
【详细教程】一文参透 MongoDB 聚合查询
文章浏览阅读1.1k次。聚合操作主要用于处理数据并返回计算结果。聚合操作将来自多个文档的值组合在一起,按条件分组后,再进行一系列操作(如求和、平均值、最大值、最小值)以返回单个结果。MongoDB的聚合查询​聚合是MongoDB的高级查询语言,它允许我们通过转化合并由多个文档的数据来生成新的在单个文档里不存在的文档信息。MongoDB中聚合(aggregate)主要用于处理数据(例如分组统计平均值、求和、最大值等),并返回计算后的数据结果,有点类似sql语句中的count(*)、groupby。..._如何将几个db的数据统整在一起做查询
springboot mongodb简单教程
文章浏览阅读680次,点赞7次,收藏8次。(2)application.properties配置文件。(4)UserService类。(5)测试和测试结果。
Studio 3T 2023.9 发布 - MongoDB 的专业 GUI、IDE 和 客户端,支持自然语言查询
文章浏览阅读1k次,点赞17次,收藏25次。Studio 3T 2023.9 (macOS, Linux, Windows) - MongoDB 的专业 GUI、IDE 和 客户端,支持自然语言查询_mongodb客户端
探寻MongoDB的世界:面试前必知的关键要点与深度洞察
文章浏览阅读1.1k次,点赞32次,收藏27次。插件式的存储引擎架构可以实现 Server 层和存储引擎层的解耦,可以支持多种存储引擎,如 MySQL 既可以支持 B-Tree 结构的 InnoDB 存储引擎,还可以支持 LSM 结构的 RocksDB 存储引擎。MongoDB 中的记录就是一个 BSON 文档,它是由键值对组成的数据结构,类似于 JSON 对象,是 MongoDB 中的基本数据单元。的简称,是 JSON 文档的二进制表示,支持将文档和数组嵌入到其他文档和数组中,还包含允许表示不属于 JSON 规范的数据类型的扩展。
基于STM32的多功能温控风扇设计
文章浏览阅读5.1k次,点赞6次,收藏96次。本文设计了一种基于智能室内温度控制的自动调速风扇。以STM32系列单片机为核心主控板,通过程序代码驱动和使用温度传感器模块实现对环境温度的实时监测,并可以实时显示环境温度。同时,可以设置温度检测的上下警告值,根据需求自行调节。_stm32 温控风扇
深入了解 Python MongoDB 查询:find 和 find_one 方法完全解析
文章浏览阅读898次,点赞13次,收藏21次。在MongoDB中,我们使用find()和find_one()方法来在集合中查找数据,就像在MySQL数据库中使用SELECT语句来在表中查找数据一样。_pymongo find_one
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot