有声,魔天记忘语小说,大主宰之灵路天蚕土豆

在安全角度來看外部來源的數據，均應視為不可信數據，對外部數據，其包含的所有信息都須經過校驗或者過濾，再向下游服務進行傳遞。若無防護手段，攻擊者可以通過構造惡意輸入，對服務進行攻擊。程序中如果使用未經校驗的輸入構造SpEL語句，就有可能造成SpEL表達式注入漏洞。部分SpEL表達式注入漏洞CVSS3.x 評分極高，nvd認定為高危漏洞，具有高致命性。

一、SpEL表達式介紹

Spring表達式語言（Spring Expression Language，SpEL）是 Spring Framework的核心技術之一，其支持在運行時查詢和操作對象圖。SpEL語法類似于Unified Expression Language，但提供了更加豐富的功能，最特別的是方法調用與字符串模板功能。SpEL主要支持以下功能：

文字表達式
布爾和關系運算符
正則表達式
類表達式
訪問properties, arrays, lists, maps
方法調用
關系運算符
參數
調用構造函數
Bean引用
構造Array
內嵌lists
內嵌maps
三元運算符
變量
用戶定義的函數
集合投影
集合篩選
模板表達式

SpEL功能強大，可以操作類和方法：

引用方法：dog.run()
引用靜態方法：T(java.lang.Math).PI
類實例化：使用new實例化對象，類名必須是全限定名，java.lang包內的除外如Integer、String等
變量定義及賦值引用

在解析SpEL之后，獲取表達式結果時，可以指定表達式的上下文對象：EvaluationContext

StandardEvaluationContext（默認）：支持全套SpEL語言和功能配置選項，功能強大但存在隱患
SimpleEvaluationContext：僅支持SpEL語法的子集，不包括Java類型引用，構造函數和bean引用，功能相對簡單但是安全

二、SpEL表達式注入漏洞

歷史報告的大部分SpEL漏洞大多涉及不受信任的用戶輸入的情況，惡意攻擊者可能利用SpEL實現任意代碼執行、拒絕服務等攻擊，與SpEL相關的部分CVE漏洞見表1。

表1部分SpEL注入CVE漏洞

常見的SpEL注入攻擊流程如圖 1所示，漏洞的基本條件有：1.使用StandardEvaluationContext；2. 未對輸入的SpEL進行校驗；3. 對表達式調用了getValue()或setValue()方法。當滿足上述條件時，就給了攻擊者可乘之機。

圖1常見的SpEL注入攻擊流程

三、漏洞實例

| 3.1CVE-2022-22963 Spring Cloud FunctionSpEL注入漏洞

|3.1.1基本信息

漏洞id：

CVE-2022-22963

漏洞簡介：

在Spring Cloud Function 相關版本，存在SpEL表達式注入。惡意攻擊者無需認證可通過構造特定的 HTTP 請求頭注入 SpEL 表達式，最終執行任意命令，獲取服務器權限。

漏洞發布地址：

https://nvd.nist.gov/vuln/detail/cve-2022-22963

漏洞安全級別：

高

漏洞代碼倉地址：

https://github.com/spring-cloud/spring-cloud-function

漏洞補丁提交地址：

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

漏洞影響包版本：

3.0.0 <= Spring Cloud Function <= 3.2.2

|3.1.2Spring Cloud Function介紹

Spring Cloud Function 是基于 Spring Boot 的函數計算框架。它提供了一個通用的模型，用于在各種平臺上部署基于函數的軟件，包括像 Amazon AWS Lambda 這樣的 FaaS（函數即服務，function as a service）平臺。該項目致力于促進函數為主的開發單元，它抽象出所有傳輸細節和基礎架構，并提供一個通用的模型，用于在各種平臺上部署基于函數的軟件。

|3.1.3CVE-2022-22963漏洞攻擊路徑

使用spring-cloud-function-web的Spring boot 應用，通過設置Message Headers來傳達路由指令，也可以在請求頭中指定spring.cloud.function.definition 或spring.cloud.function.routing-expression作為應用程序屬性，允許使用 Spring 表達式語言。

當在application.properties中設置spring.cloud.function.definition=functionRouter從而將默認路由綁定具體函數由用戶進行控制。

攻擊者調用/functionRouter接口，并在請求頭的spring.cloud.function.routing-expression中使用攻擊性的SpEL語句，服務端就會解析SpEL并執行。

漏洞攻擊圖示如圖 2所示。

圖2CVE-2022-22963漏洞攻擊路徑

|3.1.4CVE-2022-22963漏洞修復方式

該漏洞主要從四處進行了修復：

（1）聲明一個SimpleEvaluationContext，專用作來自header的SpEL的解析；

（2）新增一個布爾變量isViaHeader，用于標記當前Expression是否來自Header；

（3）如果是從Header中獲取的spring.cloud.function.routing-expression表達式，isViaHeader為true ；

（4）isViaHeader為true時，expression.getValue指定使用headerEvalContext。

如圖 3所示。

圖3CVE-2022-22963漏洞修復

| 3.2CVE-2022-22980 Spring DataMongoDBSpEL表達式注入漏洞

|3.2.1基本信息

漏洞id：

CVE-2022-22980

漏洞簡介：

Spring Data for MongoDB是 Spring Data 項目的一部分，該項目旨在為新的數據存儲提供熟悉和一致的基于Spring的編程模型，同時保留存儲的特定特征和功能。Spring Data MongoDB應用程序在對包含查詢參數占位符的SpEL表達式使用@Query或@Aggregation注解的查詢方法進行值綁定時，如果輸入未被過濾，則容易受到SpEL注入攻擊。

漏洞發布地址：

https://nvd.nist.gov/vuln/detail/CVE-2022-22980

漏洞安全級別：

高(CVSS3.x: 9.8)

漏洞代碼倉地址：

https://github.com/spring-projects/spring-data-mongodb

漏洞補丁提交地址：

3.3.xhttps://github.com/spring-projects/spring-data-mongodb/commit/7c5ac764b343d45e5d0abbaba4e82395b471b4c43.4.xhttps://github.com/spring-projects/spring-data-mongodb/commit/5e241c6ea55939c9587fad5058a07d7b3f0ccbd3

漏洞影響包版本：

Spring DataMongoDB== 3.4.0 3.3.0 <= Spring Data?MongoDB?<= 3.3.4?其他不維護的老版本

漏洞時間線：