در 29 مارس 2022، #آسیبپذیری بحرانی در Spring Cloud Function Framework که بر نسخههای 3.1.6 و 3.2.2 و نسخههای پشتیبانی نشده قدیمیتر تاثیر میگذارد افشا شد. در تاریخهای 1 و 4 آوریل نسخههای بهروزرسانی شده این فریمورک منتشر و در دسترس کاربران قرار گرفته است.
این آسیبپذیری با شناسه CVE-2022-22963 و شدت 9.8 مربوط به اجرای کد از راه دور در Spring Cloud Function با Spring Expression مخرب است. در نسخههای 3.1.6 ، 3.2.2 و نسخههای پشتیبانی نشده قدیمیتر Spring Cloud Function ، هنگام استفاده از عملکرد مسیریابی، برای یک کاربر این امکان فراهم است تا یک SpEL ساختگی خاص را به عنوان یک عبارت مسیریابی ارائه کند که ممکن است منجر به اجرای کد از راه دور و دسترسی به منابع محلی شود.
آسیبپذیری مذکور، نسخههای 3.1.6، 3.2.2 و نسخههای پشتیبانی نشده قدیمیتر Spring Cloud Function Framework را تحت تاثیر قرار میدهد. سیسکو تایید کرده است که محصولات Cisco Application Policy Infrastructure Controller (APIC) و Cisco Identity Services Engine (ISE) تحت تاثیر این آسیبپذیری قرار نمیگیرند.
به کاربران توصیه میشود نرمافزار خود را به آخرین نسخه بروز و وصلهشده ارتقاء دهند.
منبع:
- 52