PT-2022-3045 · Spring · Spring Data Mongodb
Zewei Zhang
·
Publicado
2022-06-21
·
Atualizado
2022-06-30
·
CVE-2022-22980
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Spring Data MongoDB (versões afetadas não especificadas)
Descrição
O problema está relacionado a erros no processamento de expressões SpEL, que podem ser explorados por um invasor remoto para executar código arbitrário ao enviar uma solicitação SpEL especialmente criada. Isso pode ocorrer ao usar métodos de consulta anotados com @Query ou @Aggregation com expressões SpEL que contenham placeholders de parâmetros de consulta para vinculação de valores, caso a entrada não seja sanitizada.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spring Data Mongodb