2022年3月1日,Spring官方博客发布了一则关于Spring Cloud Gateway的CVE报告,其中包含一个代码注入的高风险漏洞。
为了解决这些漏洞,版本3.0.7和3.1.1已经发布,Spring Cloud用户应及时将及时将版本升级到2021.0.1(包含3.1.1),或者如果你使用的是Spring Cloud 2020.0.x版本,可将Spring Cloud Gateway独立升级到3.0.7。
截自Spring官方博客
1、漏洞等级
Critical(严重)
2、漏洞描述(CVE-2022-22947)
使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。远程攻击者可以发出恶意的请求,从而在远程主机上执行任意的远程操作。
3、影响版本
Spring Cloud Gateway以下版本均受影响:
● 3.1.0● 3.0.0至3.0.6● 其他老版本
4、可通过以下几种方式进行修复
● 3.1.x用户应升级到3.1.1+● 3.0.x用户应升级到3.0.7+●如果不需要Actuator端点,可以通过management.endpoint.gateway.enabled:false配置将其禁用,如果需要Actuator端点,则应使用Spring Security对其进行保护,可参考以下网址:
内容参考来源:Spring Cloud Gateway CVE reports published
网友评论