一�、 误差详情
1.1. 误差形貌
Spring Data for MongoDB是Spring Data项目的一部分�,�,�,该项目旨在为新数据存储提供熟悉且一致的基于Spring的编程模子�,�,�,同时保存特定于存储的特征和功效�。Spring Data MongoDB 项目提供与MongoDB文档数据库的集成�。
当使用@Query或@Aggregation注解举行盘问时�,�,�,若通过SpEL表达式中形如“?0”的占位符来举行参数赋值�,�,�,同时应用程序未对用户输入举行过滤处理�,�,�,则可能受到SpEL表达式注入的 影响�,�,�,乐成使用该误差的攻击者可在目的服务器上执行代码�。
1.2. 误差编号
CVE-2022-22980
1.3. 误差品级
高 危
二�、影响规模
Spring Data MongoDB==3.4.0
3.3.0 <= Spring Data MongoDB <= 3.3.4
旧的�、不受支持的版本也会受到影响
三�、修复建议
现在�,�,�,官方已有可更新版本�,�,�,建议用户尽快升级至最新版本�。
Spring Data MongoDB 3.4.1 版本�:�:�: https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1
Spring Data MongoDB 3.3.5 版本�:�:�: https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5
