【安全通告】Spring Cloud Gateway 远程代码执行漏洞风险通告（CVE-2022-22947）

漏洞速览 腾讯云安全运营中心监测到， VMware官方发布安全通告，披露了其Spring Cloud Gateway存在代码注入漏洞，漏洞编号CVE-2022-22947。可导致远程代码执行等危害。

|漏洞概述

Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关，它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 据公告描述，当启用和暴露 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求，从而远程执行任意代码。

|风险等级高攻击者可利用该漏洞远程执行任意代码。已发现漏洞利用被公开，危害较大

|影响版本

Spring Cloud Gateway < 3.1.1 Spring Cloud Gateway < 3.0.7 Spring Cloud Gateway 其他已不再更新的版本

|安全版本

Spring Cloud Gateway >= 3.1.1 Spring Cloud Gateway >= 3.0.7

|修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本 临时缓解措施： 1.如果不需要Gateway actuator endpoint，可通过 management.endpoint.gateway.enabled: false 禁用它。 2.如果需要actuator，则应使用 Spring Security 对其进行防护，可参考：https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security。

|参考链接

• https://tanzu.vmware.com/security/cve-2022-22947

END

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

关注云鼎实验室，获取更多安全情报