碼上快樂

相關內容    簡體    繁體

關於Spring Cloud Gateway 遠程代碼執行漏洞(CVE-2022-22947)的安全告知

本文轉載自   查看原文   2022-03-04 15:22   751    JVM

Spring Cloud Gateway 是 Spring Cloud 下的一個項目,該項目是基於 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技術開發的網關,它旨在為微服務架構提供一種簡單有效統一的 API 路由管理方式。

漏洞詳情

近日,VMware 官方發布安全公告,其中包含 Spring Cloud Gateway 遠程代碼執行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的應用如果對外暴露了 Gateway Actuator 接口,則可能存在被 CVE-2022-22947 漏洞利用的風險,攻擊者可通過利用此漏洞執行 SpEL 表達式,從而在目標服務器上執行任意惡意代碼,獲取系統權限。

影響范圍

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway 3.0.x < 3.0.7

其他舊的、不受支持的 Spring Cloud Gateway 版本

修復建議

1.更新升級 Spring Cloud Gateway 到以下安全版本:

        Spring Cloud Gateway 3.1.1

        Spring Cloud Gateway 3.0.7

2.或在不考慮影響業務的情況下禁用 Actuator 接口:通過management.endpoint.gateway.enable:false配置將其禁用


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Spring Cloud Gateway 遠程代碼執行漏洞(CVE-2022-22947) Spring Cloud Gateway 遠程代碼執行漏洞復現CVE-2022-22947 CVE-2022-22947 Spring Cloud Gateway SPEL RCE復現 CVE-2022-22947 SpringCloud GateWay SpEL RCE CVE-2022-22965 Spring Framework遠程代碼執行漏洞復現 Spring Framework遠程代碼執行漏洞復現(CVE-2022-22965) 漏洞復現-CVE-2016-4977-Spring遠程代碼執行 漏洞復現-CVE-2017-4971-Spring Web Flow 遠程代碼執行 Spring Data REST PATCH請求遠程代碼執行漏洞(CVE-2017-8046) 本地復現方法 Spring Cloud Function SpEL表達式命令注入(CVE-2022-22963)漏洞復現及分析
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM