具有 Spring Cloud 功能的 Nepxion Discovery 软件无法修补RCE、信息泄漏错误

Nepxion Discovery是一个为Spring Cloud框架提供功能的开源项目,其中一个未修补的远程代码执行(RCE)漏洞已被公开。来自GitHub安全实验室(GHSL)的安全研究人员在9月9日披露了该漏洞以及Nepxion Discovery中的另一个信息泄露漏洞。Nepxion是一家中国供应商,维护着多个与Spring Cloud相关的开源项目。尽管Nepxion Discovery GitHub页面有超过1300个分支,但安全策略页面被禁用并且安全建议选项卡为空。

在一篇博客文章中,GHSL研究员Jorge Rosillo表示,最严重的漏洞被跟踪为GHSL-2022-033 (CVE-2022-23463),它是发现公共功能中的一个关键问题,它使软件容易受到SpEL注入的攻击。当缺乏保护来阻止用户输入直接传递到SpEL表达式解析器时,就会发生SpEL注入攻击。在这种情况下,两个端点将用户输入转换为表达式,传递它们,然后允许输入与Java类(包括java.lang.Runtime)进行交互,从而导致RCE。

由于严重性,此漏洞的CVSS评分为9.8。


第二个问题被跟踪为GHSL-2022-033(CVE-2022-23464),并且在GitHub上的得分为4.3(NIST 7.5),是一个服务器端请求伪造(SSRF) 漏洞,可能导致信息泄露。


根据GHSL,目前还没有补丁可用,也没有针对这两个漏洞的已知解决方法。这些问题会影响Nepxion Discovery6.16.2及以下版本。


网络安全研究人员于5月22日私下向Nepxion披露了他们的发现。6月,该团队要求与安全部门联系,但没有得到回应,于6月20日公开了一个问题。


维护者于8月9日关闭了公开问题。


到8月21日,标准漏洞披露流程的截止日期已经到期,导致CVE-2022-23463和CVE-2022-23464的分配和公开披露。


当被要求发表评论时,GitHub向我们指出了最初的披露。

发表评论

评论已关闭。

相关文章