SpringCloudFunction漏洞分析

前言

SpringCloudFunction是SpringBoot开发的一个Servless中间件（FAAS），支持基于SpEL的函数式动态路由。在特定配置下，3 <= 版本 <= 3.2.2（ commit dc5128b 之前）存在SpEL表达式执行导致的RCE。

补丁分析

在 main 分支commit dc5128b（https://github.com/spring-cloud/spring-cloud-function/commit/dc5128b80c6c04232a081458f637c81a64fa9b52）中，新增了 SimpleEvaluationContext ：

由 isViaHeader 变量作为flag，在解析前判断 spring.cloud.function.routing-expression 的值是不是取自 HTTP头，如果是的话就用 SimpleEvaluationContext 解析SpEL语句，不是来自外部输入时（比如System.setProperty ）才用StandardEvaluationContext 解析。

同样的，官方测试用例已经清楚地写明了漏洞位置与Payload：

提取出测试类后在apply方法下断并跟入，省略一些中间流程，最终可以看到从HTTP头spring.cloud.function.routing-expression 中取出SpEL表达式并由 StandardEvaluationContext 解析：

至此source与sink已经清晰，虽然测试用例可以模拟触发漏洞，但还是要搭出一套能实际复现的环境。刚开始 时想不开，自己在那啃文档碎碎写了一两个小时demo硬是搭不起来，后来发现官方提供的sample（https://github.com/spring-cloud/spring-cloud-function/tree/main/spring-cloud-function-samples/function-sample-pojo）就很好用 Orz：

后话

好消息是只有Spring Cloud Function部分版本特定配置的动态路由才会受影响（spring.cloud.function.definition=functionRouter），坏消息是SpEL表达式存在 charset、replace等多种变形。

参考链接

Function Routing and Filtering

默安科技安全研究院旗下团队，“逐日”寓意为追逐技术永不停歇，专注于安全攻防研究，包括漏洞挖掘、逆向工程、红蓝对抗、代码审计、产品赋能等方向。