Nepxion Discovery是一个为Spring Cloud框架提供功能的开源项目，其中一个未修补的远程代码执行(RCE)漏洞已被公开。来自GitHub安全实验室(GHSL)的安全研究人员在9月9日披露了该漏洞以及Nepxion Discovery中的另一个信息泄露漏洞。Nepxion是一家中国供应商，维护着多个与Spring Cloud相关的开源项目。尽管Nepxion Discovery GitHub页面有超过1300个分支，但安全策略页面被禁用并且安全建议选项卡为空。

在一篇博客文章中，GHSL研究员Jorge Rosillo表示，最严重的漏洞被跟踪为GHSL-2022-033 (CVE-2022-23463)，它是发现公共功能中的一个关键问题，它使软件容易受到SpEL注入的攻击。当缺乏保护来阻止用户输入直接传递到SpEL表达式解析器时，就会发生SpEL注入攻击。在这种情况下，两个端点将用户输入转换为表达式，传递它们，然后允许输入与Java类（包括java.lang.Runtime）进行交互，从而导致RCE。

由于严重性，此漏洞的CVSS评分为9.8。

第二个问题被跟踪为GHSL-2022-033(CVE-2022-23464)，并且在GitHub上的得分为4.3(NIST 7.5)，是一个服务器端请求伪造(SSRF) 漏洞，可能导致信息泄露。

根据GHSL，目前还没有补丁可用，也没有针对这两个漏洞的已知解决方法。这些问题会影响Nepxion Discovery6.16.2及以下版本。

网络安全研究人员于5月22日私下向Nepxion披露了他们的发现。6月，该团队要求与安全部门联系，但没有得到回应，于6月20日公开了一个问题。

维护者于8月9日关闭了公开问题。

到8月21日，标准漏洞披露流程的截止日期已经到期，导致CVE-2022-23463和CVE-2022-23464的分配和公开披露。

当被要求发表评论时，GitHub向我们指出了最初的披露。