ГлавнаяБаза уязвимостей БДУ → BDU:2022-03714
10критическая

BDU:2022-03714 (CVE-2022-22980)

Уязвимость программного обеспечения для унификации и упрощения доступа к базам данных Spring Data MongoDB, связанная с ошибками при обработке SpEL-выражений, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-06-23
Описание

Уязвимость программного обеспечения для унификации и упрощения доступа к базам данных Spring Data MongoDB связана с ошибками при обработке SpEL-выражений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного SpEL-запроса

Затрагиваемое ПО и версии
Spring Data MongoDB (до 3.4.1)Spring Data MongoDB (до 3.3.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программно-го обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование символов «[0]» вместо «?0» при написании запроса;
- проверка параметров перед вызовами метода запроса;
- переконфигурирование BeanPostProcessor с ограничением QueryMethodEvaluationContextProvider.

Информации от производителя:
https://tanzu.vmware.com/security/cve-2022-22980

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://tanzu.vmware.com/security/cve-2022-22980https://www.cybersecurity-help.cz/vdb/SB2022062101
Проверьте безопасность своего сайта и почты → Полная проверка домена