Spring Cloud Funtion là một mã nguồn mở Java platform application development framework được sử dụng rộng rãi. Dễ dàng triển khai và hiệu suất cao.

CVE-2022-22963 là một lỗ hổng có thể thực thi mã từ xa trong Spring Cloud Function. Bằng cách gửi request HTTP header spring.cloud.function.routing-expression với nội dung là 1 SpEL (Spring expression language) có thể được thực thi bởi StandardEvaluationContext .

Các phiên bản bị ảnh hưởng:
Spring Cloud Function: 3.1.6 ,3.2.2

Các phiên bản cũ hơn hoặc các phiên bản không còn hỗ trợ không bị ảnh hưởng

Chạy JDK >=9

Giảm thiểu rủi ro:

Cập nhật bản mới nhất Spring Cloud Function: 3.1.7 & 3.2.3

Tài liệu tham khảo:

[CVE-2022-22963] Spring Cloud Function RCE Vulnerability