انتشار بهروزرسانی برای آسیبپذیری در Spring Cloud Function Framework
در ۲۹ مارس ۲۰۲۲، آسیبپذیری بحرانی در Spring Cloud Function Framework که بر نسخههای ۳.۱.۶ و ۳.۲.۲ و نسخههای پشتیبانی نشده قدیمیتر تاثیر میگذارد افشا شد. در تاریخهای ۱ و ۴ آوریل نسخههای بهروزرسانی شده این فریمورک منتشر و در دسترس کاربران قرار گرفته است.
این آسیبپذیری با شناسه CVE-2022-22963 و شدت ۹.۸ مربوط به اجرای کد از راه دور در Spring Cloud Function با Spring Expression مخرب است. در نسخههای ۳.۱.۶ ، ۳.۲.۲ و نسخههای پشتیبانی نشده قدیمیتر Spring Cloud Function ، هنگام استفاده از عملکرد مسیریابی، برای یک کاربر این امکان فراهم است تا یک SpEL ساختگی خاص را به عنوان یک عبارت مسیریابی ارائه کند که ممکن است منجر به اجرای کد از راه دور و دسترسی به منابع محلی شود.
محصولات تحت تأثیر
آسیبپذیری مذکور، نسخههای ۳.۱.۶، ۳.۲.۲ و نسخههای پشتیبانی نشده قدیمیتر Spring Cloud Function Framework را تحت تاثیر قرار میدهد. سیسکو تایید کرده است که محصولات Cisco Application Policy Infrastructure Controller (APIC) و Cisco Identity Services Engine (ISE) تحت تاثیر این آسیبپذیری قرار نمیگیرند.
توصیههای امنیتی
به کاربران توصیه میشود نرمافزار خود را به آخرین نسخه بروز و وصلهشده ارتقاء دهند.
