Des chercheurs en cybersécurité ont révélé une faille d’injection de code dans le framework informatique Spring Cloud qui pose un risque d’attaque à distance.

Le 28 mars, la firme d’infosec NSFOCUS a publié un conseil en sécurité décrivant une vulnérabilité dans Spring Cloud Function qui permet aux attaquants de « fournir un Spring Expression Language (SpEL) spécialement conçu en tant qu’expression de routage pouvant entraîner l’accès aux ressources locales ».

VMWare Spring Cloud est une collection open source de projets de développement pour les systèmes distribués sur Spring, allant de la découverte de services à la gestion de la configuration. Fonction de nuage de printemps est un projet qui résume tous les détails de transport et l’infrastructure, permettant aux développeurs de se concentrer sur l’assemblage d’applications basées sur des composants de logique métier.

Le projet Spring Cloud est lancé GitHub.

Point de déclenchement

Selon NSFOCUS, la vulnérabilité est déclenchée par le spring.cloud.function.routing-expression paramètre dans l’en-tête de la requête. Ce paramètre est traité comme une expression SpEL lorsque le routage est utilisé.

Si elles ne sont pas correctement protégées, les expressions peuvent entraîner des injections de langage d’expression (EL). En fonction de la Sévérité de l’injection ELles attaquants peuvent être en mesure d’accéder au contenu côté serveur, de falsifier des fonctionnalités, de détourner des comptes, etc.

Dans ce cas, le bogue est spécifiquement une injection SpEL. Les chercheurs ont déclaré que cette vulnérabilité Spring Cloud Function, suivie comme CVE-2022-22963 et classé comme un score de gravité moyenne, pourrait entraîner l’injection à distance de code arbitraire.

Correctifs

Les versions 3.1.6, 3.2.2 et les versions antérieures de Spring Cloud Function de la technologie sont impacté.

Les chercheurs ont publié des détails sur la vulnérabilité ainsi qu’un code d’exploitation de preuve de concept (PoC).

Dans un avis publié par Oleg Zhurakousky, le développeur a déclaré que les utilisateurs devraient passer aux versions Spring Cloud Function 3.1.7 ou alors 3.2.3 pour corriger la faille de sécurité.

Au moment de la rédaction, un correctif a commis mais n’appartient pas à une branche stable. En d’autres termes, un correctif est prêt pour la prochaine version mais n’a pas encore été implémenté.