一、概要

政务云安全团队关注到到Spring Cloud官方发布安全公告，披露在Spring CloudFunction特定版本中存在SpEL表达式注入漏洞。未经身份认证的攻击者通过构造特定的数据包，在特定的HTTP请求头中注入恶意的SpEL表达式，最终实现远程任意代码执行。目前漏洞POC已公开，风险较高。

Spring Cloud Function是基于Spring Boot的函数框架。政务云提醒使用Spring Cloud Function的用户及时安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、 影响范围

影响版本：

v3.0.0.RELEASE <= Spring Cloud Function <= v3.2.2

安全版本：

目前官方仅发布了安全补丁，暂未发布安全版本

四、安全建议

注：修复漏洞前请将资料和数据进行备份，并与客户应用供应商和维护方确认并进行充分测试。

1、目前官方已发布修复补丁，建议受影响的用户应用补丁进行临时规避

https://github.com/spring-cloud/spring-cloud

function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f