开源漏洞深度分析 | CVE-2022-22980 Spring​ Data MongoDB SpEL表达式注入漏洞_spring data mongodb spel表达式注入漏洞(cve-2022-22980)

开源漏洞深度分析

CVE-2022-22980 Spring Data MongoDB SpEL表达式注入漏洞

项目介绍

Spring Data for MongoDB 是 Spring Data 项目的一部分，该项目旨在为新数据存储提供熟悉且一致的基于 Spring 的编程模型，同时保留特定于存储的特性和功能。Spring Data MongoDB 项目提供与 MongoDB 文档数据库的集成。Spring Data MongoDB 的关键功能是以 POJO 为中心的模型，用于与 MongoDB DBCollection 交互并轻松编写 Repository 样式的数据访问层。

项目地址

https://spring.io/projects/spring-data-mongodb

漏洞概述

Spring Data MongoDB为MongoDB提供接口服务，便于接入Spring软件生态中使用。当使用@Query或@Aggregation注解进行查询时，若通过SpEL占位符获取输入参数，并且未对用户输入进行有效过滤，则可能受该漏洞影响。在前述条件下，攻击者可利用该漏洞，构造恶意数据执行远程代码，最终获取服务器权限。

影响版本

Spring Data MongoDB：3.4.0

Spring Data MongoDB：3.3.0-3.3.4

旧的、不受支持的版本也会受到影响

环境搭建

使用threedr3am师傅提供的demo，导入idea直接启动，无需配置数据库，因为该漏洞是在数据库请求之前触发的。

https://github.com/threedr3am/learnjavabug/tree/master/spring/spring-data-mongodb-spel-CVE-2022-22980

漏洞复现

漏洞分析

根据官方漏洞通报，可知当使用@Query或@Aggregation注解进行查询时，若通过SpEL占位符获取输入参数并过滤不当就会造成rce。分析数据流发现该漏洞的核心逻辑位于如下代码中，ParameterBindingJsonReader类负责读取JSON并计算占位符和SpEL表达式。

org.springframework.data.mongodb.util.json.ParameterBindingJsonReader#bindableValueFor

这里有两种情况都可以触发，第一种是当token值（也就是json值）为UNQUOTED_STRING时，也就是json值没有使用引号的时候，另外一种是使用引号时。这两种情况比较类似，这里只分析无引号的情况。

下面代码出现了两个正则匹配的代码。第一个正则代码如下，只能匹配 ?#{} 或者：#{}形式的字符串

匹配成功后则认为是spel表达式格式，然后此时expression是{}中的值，然后接着会判断是否满足 ?\d ，也就是 ？数字。只有符合这种格式才会使用getBindableValueForIndex提取传入的参数，这也是为什么临时修复措施中推荐使用[0]代替?0的原因。

在evaluateExpression中经过多层调用最终会解析执行spel表达式。因此当出现如下格式的注解时，如果参数没有过滤并且使用了存在漏洞的组件库就会造成rce。

修复方式

目前此漏洞已经修复，受影响用户可以升级到以下版本：

Spring Data MongoDB 3.4.1或更高版本

Spring Data MongoDB 3.3.5或更高版本

参考链接

https://tanzu.vmware.com/security/cve-2022-22980

https://github.com/spring-projects/spring-data-mongodb/commit/7c5ac764b343d45e5d0abbaba4e82395b471b4c4

关于我们

棱镜七彩作为国内专业提供开源成分管理及威胁情报服务的创新型科技企业，拥有自主知识产权的开源安全治理工具FossCheck、左移开发安全工具FossEye、开源许可证治理工具FossLicense等产品。产品主要用于帮助对软件中的开源成分进行克隆检测和溯源分析、安全漏洞分析、开源组件管理、自动化策略执行、威胁情报预警及开源软件许可证合规，帮助企业更好的管理开源代码资产、跟踪开源资产安全性和合规性，提高研发效率，降低安全成本，为客户提供领先全面的开源安全与合规治理解决方案。