SpringCloud Function SpEL漏洞环境搭建+漏洞复现

最新推荐文章于 2025-04-22 06:30:00 发布
原创 最新推荐文章于 2025-04-22 06:30:00 发布
· 2.8k 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud #java

本文介绍了Spring Cloud Function在3.0.0至3.2.2版本中存在的SpEL表达式注入漏洞,详细阐述了漏洞复现步骤、分析过程以及官方的修复方案。建议用户关注官方发布的修复补丁并及时进行安全升级。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞概述

Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像 Amazon AWS Lambda 这样的 FaaS(函数即服务,function as a service)平台。它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。

在版本3.0.0到当前最新版本3.2.2(commit dc5128b),默认配置下,都存在Spring Cloud Function SpEL表达式注入漏洞。

漏洞复现

在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。

选择Spring WebFunction作为依赖项,点击完成。

漏洞环境就搭建完成。因当前官方还未发布新版本,所以最新版本3.2.2也是存在漏洞的,若在官方出新版本后想要复现此漏洞,那么需要修改pom中spring-cloud-function-web的版本为3.2.2,如下图所示ÿ

最低0.47元/天 解锁文章
墨云安全
关注
SpringCloud学习(十五)---Spring Cloud Function
habazhu1110的专栏
11-17 1426
本次系列的目标就是三轮, 第一轮知道spring官网的cloud部分都有啥,都能干啥, 第二轮是针对有用的部分做文档阅读,第三轮是横向对比.所以文档是一节节的更新的.而且这玩意主要是让我自己做笔记的.所以不接受吐槽. Spring Cloud Function是一个具有以下高级目标的项目: 通过功能促进业务逻辑的实现。 将业务逻辑的开发生命周期与任何特定的运行时目标脱钩,以便相同的代码可以作为Web终结点,流处理器或任务运行。 支持跨无服务器提供程序的统一编程模型,以及独立运行(本地或在PaaS中)
Spring Cloud Function SPEL表达式注入漏洞
Trouvailless的博客
04-28 539
漏洞描述 Spring框架为现代基于java的企业应用程序(在任何类型的部署平台上)提供了一个全面的编程和配置模型。 Spring Cloud 中的 serveless框架 Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理,造成Spel表达式注入,攻击者可通过该漏洞执行任意代码。 利用条件 3.0.0.RELEASE
cloud function java_Spring-Cloud-Function: Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和...
weixin_39683858的博客
03-08 246
Spring Cloud is released under the non-restrictive Apache 2.0 license,and follows a very standard Github development process, using Githubtracker for issues and merging pull requests into master. If y...
SpringCloud FunctionFunction as a Service架构设计
最新发布
程序媛学姐的博客
04-22 848
Spring Cloud Function为构建云原生应用提供了强大而灵活的函数式编程模型。通过统一的函数接口,开发者可以编写独立于平台的业务逻辑,实现一次编写,到处运行。本文探讨了Spring Cloud Function的核心概念、函数组合与路由、消息系统集成、无服务器部署以及实际应用案例。函数式架构的优势在于其简洁性、可测试性和可组合性,特别适合构建事件驱动的微服务系统。
Spring Cloud function CVE-2022-22963
王嘟嘟的博客
04-14 3676
0x00 前言 洞出来了有一段时间了,还是简单的来看一下。 0x01 概述 1.Spring Cloud function 主要功能: 通过功能促进业务逻辑的实现。 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为Web端点,流处理器或任务运行。 支持无服务器提供商之间的统一编程模型,以及独立运行(本地或PaaS)的能力。 在无服务器提供商上启用Spring Boot功能(自动配置,依赖注入,指标)。 2.影响版本 3 <= 版本 <= 3.2.2 0x02 漏
Spring Cloud Function 3.0.4
BLOG域名:programb.blog.youkuaiyun.com
03-19 182
Spring Cloud Function is a project with the following high-level goals: Promote the implementation of business logic via functions. Decouple the development lifecycle of business logic from any speci...
Spring Cloud Function SpEL表达式命令注入(CVE-2022-22963)漏洞复现
weixin_54786196的博客
10-27 518
Spring Cloud Function是一个用于构建和部署基于函数的微服务的框架。它使用SpEL表达式来处理函数的输入和输出。SpEL是一种强大的表达式语言,它允许开发人员在运行时动态地计算表达式。由于Spring CloudFunction中RoutingFunction类的apply方法将请求头中的"spring.cloud.function.routing-expression"参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,当使用路由功能时,攻击者可利用该漏洞远程执行任意代码。
Spring Cloud Function Spel表达式注入漏洞分析
si1ence的博客
04-14 3495
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。主要影响的版本包括 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
weixin_45715461的博客
07-10 3421
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
**Spring Cloud Function 3.0.6** 是 Spring Cloud Function 框架的一个版本
BLOG域名:programb.blog.youkuaiyun.com
05-07 503
Spring Cloud Function 3.0.6 是 Spring Cloud Function 的一个版本,它提供了以下主要功能和特性:函数式编程支持:统一编程模型:HTTP 和消息流支持:透明类型转换:部署支持:本地和 CI/CD 支持:以下是一个简单的 Spring Cloud Function 示例,展示了如何定义一个函数并将其导出为 HTTP 端点: 在上述代码中, 函数将输入字符串转换为大写。该函数可以通过 HTTP 端点访问。如果您需要更详细的配置或示例,请参考官方文档或相关社区资源。S
Spring Cloud Function 3.0.6
BLOG域名:programb.blog.youkuaiyun.com
05-05 259
Overview Learn Spring Cloud Function is a project with the following high-level goals: Promote the implementation of business logic via functions. Decouple the development lifecycle of business logi...
Spring Cloud——Function
十年梦归尘的专栏
12-10 2207
Function
Spring Cloud: Spring Cloud Function 入门
amadeus_liu2的博客
12-30 1137
cloud
Spring Cloud FunctionSpring Cloud 生态系统中的一个模块,旨在支持基于函数式编程的微服务开发
BLOG域名:programb.blog.youkuaiyun.com
05-27 457
Spring Cloud FunctionSpring Cloud 生态系统中的一个模块,旨在支持基于函数式编程的微服务开发。它允许开发者将业务逻辑封装为独立的函数,并通过统一的编程模型在本地或云环境中运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值