Se ha reportado una vulnerabilidad crítica en Spring Data MongoDB, que permitiría a un atacante realizar inyección Spring Expression Language (SpEL) para realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-22980 de severidad crítica y puntuación de 9.8. Esta vulnerabilidad se debe al uso de métodos de consulta @Query o @Aggregation-annotated en expresiones SpEL, que contienen marcadores de posición de parámetros para dicha consulta, cuyos datos de entrada no fueron correctamente validados.
Actualmente para esta vulnerabilidad, existen varios PoC publicados en internet.
Se recomienda actualizar las versiones Spring Data MongoDB 3.4.x a 3.4.1+ y 3.3.x a 3.3.5+, siguiendo los pasos proveídos en el siguiente enlace:
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/07/BOL-CERT-PY-2022-30-Vulnerabilidad-critica-de-inyeccion-de-SpEL-en-Spring-Data-MongoDB.pdfta-MongoDB.pdf
- https://portswigger.net/daily-swig/spring-data-mongodb-hit-by-another-critical-spel-injection-flaw
- https://nvd.nist.gov/vuln/detail/CVE-2022-22980
- https://spring.io/guides/gs/accessing-data-mongodb/