VMware a publié des mises à jour pour corriger une vulnérabilité de haute gravité qui affecte l’application ‘Spring Data MongoDB’, elle pourrait permettre à un acteur de la menace de provoquer une exécution de code arbitraire à distance sur les systèmes affectés.

Suivie sous le nom de CVE-2022-22980 avec un score CVSS de 9.0, une application est vulnérable quand toutes les conditions suivantes sont réunies :

· L’utilisation de méthodes de requête @Query ou @Aggregation ;

· La requête générée contient des parties SpEL (Spring Expression Language) utilisant la syntaxe du paramètre placeholder dans l’expression ;

· L'entrée fournie par l'utilisateur n'est pas nettoyée par l'application.

La société a corrigé le problème en publiant les versions 3.4.1+ et 3.3.5+ de Spring Data MongoDB.

Les utilisateurs des versions 3.4.x ou 3.3.x sont invités à installer ces mises à jour, cependant, les utilisateurs des versions plus anciennes peuvent appliquer les mesures d’atténuation pour éviter tout risque possible.