漏洞速览
腾讯云安全运营中心监测到, VMware官方发布安全通告,披露了其Spring Cloud Gateway存在代码注入漏洞,漏洞编号CVE-2022-22947。可导致远程代码执行等危害。
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。
据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
Spring Cloud Gateway < 3.1.1
Spring Cloud Gateway < 3.0.7
Spring Cloud Gateway 其他已不再更新的版本
Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
临时缓解措施:
1.如果不需要Gateway actuator endpoint,可通过 management.endpoint.gateway.enabled: false 禁用它。
2.如果需要actuator,则应使用 Spring Security 对其进行防护,可参考:https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security。
https://tanzu.vmware.com/security/cve-2022-22947
云鼎实验室视频号
一分钟走进趣味科技
原文始发于微信公众号(云鼎实验室):【安全通告】Spring Cloud Gateway 远程代码执行漏洞风险通告(CVE-2022-22947)
