Spring Cloud Netflix是一套分布式服务框架的封装,包括服务的发现和注册,负载均衡、断路器、REST客户端、请求路由等。
2021年11月22日,360漏洞云团队监测到VMware发布安全公告,修复了一个 Spring Cloud Netflix中的模板解析漏洞。漏洞编号:CVE-2021-22053,漏洞威胁等级:高危。
同时使用“spring-cloud-netflix-hystrix-dashboard”和“spring-boot-start -thymeleaf”的应用程序暴露了一种执行在视图模板解析期间在请求URI路径中提交的代码的方法。当在’ /hystrix/monitor;[user-provided data] ‘发出请求时,’ hystrix/monitor ‘后面的路径元素将被作为SpringEL表达式计算,这可能导致代码执行。
2.2.0.RELEASE<=Spring Cloud Netflix<=2.2.9.RELEASE
厂商已发布升级修复漏洞,用户请尽快更新至安全版本:
Spring Cloud Netflix 2.2.10.RELEASE+
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://loudongyun.360.cn
360安全大脑漏洞云以技术为驱动,以安全专家为核心,围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务,帮助客户防患于未然,在降低资产风险的同时,大幅提升客户对漏洞感知、预警、分析等响应能力,为国家、政企客户、用户抢占风险预警处置先机,提升网络安全主动防护能力。
原文始发于微信公众号(360漏洞云):高危!VMWARE Spring Cloud Netflix 模板解析漏洞