漏洞速览 腾讯云安全运营中心监测到, VMware官方发布安全通告,披露了其Spring Cloud Gateway存在代码注入漏洞,漏洞编号CVE-2022-22947。可导致远程代码执行等危害。
|漏洞概述
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
|风险等级高攻击者可利用该漏洞远程执行任意代码。已发现漏洞利用被公开,危害较大
|影响版本
Spring Cloud Gateway < 3.1.1 Spring Cloud Gateway < 3.0.7 Spring Cloud Gateway 其他已不再更新的版本
|安全版本
Spring Cloud Gateway >= 3.1.1 Spring Cloud Gateway >= 3.0.7
|修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本 临时缓解措施: 1.如果不需要Gateway actuator endpoint,可通过 management.endpoint.gateway.enabled: false 禁用它。 2.如果需要actuator,则应使用 Spring Security 对其进行防护,可参考:https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security。
|参考链接
END
更多精彩内容点击下方扫码关注哦~
云鼎实验室视频号
一分钟走进趣味科技
-扫码关注我们-
关注云鼎实验室,获取更多安全情报