spring 未授权命令执行 (CVE-2022-22947)

阅读模式 · 发表于 2022-3-4 12:40:40

Spring-Cloud-Gateway-CVE-2022-22947
Spring Cloud Gateway远程代码执行漏洞的安全公告。该漏洞为当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求，从而远程执行任意代码。

【受影响版本】

Spring Cloud Gateway < 3.1.1 Spring Cloud Gateway < 3.0.7 Spring Cloud Gateway 旧的、不受支持的版本也会受到影响【安全版本】

Spring Cloud Gateway >= 3.1.1 Spring Cloud Gateway >= 3.0.7

Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关，它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。

修复建议临时修复建议：

如果不需要网关执行器端点，则应通过 management.endpoint.gateway.enabled: false 禁用它。如果需要执行器，则应使用 Spring Security 对其进行保护，请参阅https://docs.spring.io/spring-bo ... .endpoints.security。

通用修复建议：

官方已发布安全版本，请及时下载更新，下载地址：https://github.com/spring-cloud/spring-cloud-gateway

使用python3 运行

Spring-Cloud-Gateway-CVE-2022-22947-main.zip (4.25 KB, 下载次数: 5)

动者恒动 · 发表于 2022-3-5 13:07:22

谢谢分享

Dixon · 发表于 2022-3-21 09:20:35

学习学习

spring 未授权命令执行 (CVE-2022-22947)

指导单位

旗下站点

联系我们