近日，我司监测到VMware发布的安全公告，修复了一个存在于Spring Data MongoDB中的SpEL表达式注入漏洞。当使用@Query或@Aggregation注解进行查询时，若通过SpEL表达式中形如“?0”的占位符来进行参数赋值，同时应用程序未对用户输入进行过滤处理，则可能受到SpEL表达式注入的影响，成功利用该漏洞的攻击者可在目标服务器上执行代码。

Spring Data MongoDB项目提供了与MongoDB文档数据库的集成。Spring Data MongoDB的关键功能区域是一个以POJO为中心的模型，用于与MongoDB DBCollection进行交互并轻松编写存储库样式的数据访问层。

影响版本

• Spring Data MongoDB == 3.4.0
• 1.0.0 <= Spring Data MongoDB <= 3.3.4

安全版本

• Spring Data MongoDB >= 3.4.1
• Spring Data MongoDB >= 3.3.5

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

• Spring Data MongoDB 3.4.1版本：https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.4.1
• Spring Data MongoDB 3.3.5版本：https://github.com/spring-projects/spring-data-mongodb/releases/tag/3.3.5