Уязвимость программного обеспечения для унификации и упрощения доступа к базам данных Spring Data MongoDB связана с ошибками при обработке SpEL-выражений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного SpEL-запроса
BDU:2022-03714
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программно-го обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование символов «[0]» вместо «?0» при написании запроса;
- проверка параметров перед вызовами метода запроса;
- переконфигурирование BeanPostProcessor с ограничением QueryMethodEvaluationContextProvider.
Информации от производителя:
https://tanzu.vmware.com/security/cve-2022-22980
BDU:2022-03714
CVE-2022-22980
Установка обновлений из доверенных источников.В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программно-го обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование символов «[0]» вместо «?0» при написании запроса;
- проверка параметров перед вызовами метода запроса;
- переконфигурирование BeanPostProcessor с ограничением QueryMethodEvaluationContextProvider.
Информации от производителя:
https://tanzu.vmware.com/security/cve-2022-22980