一、概要

近日，畅行云关注到Spring Cloud官方发布安全公告，披露在 Spring Cloud Function特定版本中存在SpEL表达式注入漏洞。未经身份认证的攻击者通过构造特定的数据包，在特定的HTTP请求头中注入恶意的SpEL表达式，最终实现远程任意代码执行。目前漏洞POC已公开，风险较高。

Spring Cloud Function是基于Spring Boot的函数框架。畅行云提醒使用Spring Cloud Function的用户及时安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

v3.0.0.RELEASE <= Spring Cloud Function <= v3.2.2

安全版本：

目前官方仅发布了安全补丁，暂未发布安全版本

四、漏洞处置

目前官方已发布修复补丁，建议受影响的用户应用补丁进行临时规避：

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

注：修复漏洞前请将资料备份，并进行充分测试。