关于SpringCloudGateway远程代码执⾏漏洞(CVE-2022-
22947)的安全告知
Spring Cloud Gateway 是 Spring Cloud 下的⼀个项⽬,该项⽬是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的⽹关,它旨在为微服务架构提供⼀种简单有效统⼀的 API 路由管理⽅式。
漏洞详情
近⽇,VMware 官⽅发布安全公告,其中包含 Spring Cloud Gateway 远程代码执⾏漏洞(CVE-2022-22947)。使⽤ Spring Cloud Gateway 的应⽤如果对外暴露了 Gateway Actuator 接⼝,则可能存在被 CVE-2022-22947 漏洞利⽤的风险,攻击者可通过利⽤此漏洞执⾏SpEL 表达式,从⽽在⽬标服务器上执⾏任意恶意代码,获取系统权限。
影响范围
Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
其他旧的、不受⽀持的 Spring Cloud Gateway 版本
修复建议
1.更新升级 Spring Cloud Gateway 到以下安全版本:
cve漏洞库
Spring Cloud Gateway 3.1.1
Spring Cloud Gateway 3.0.7
2.或在不考虑影响业务的情况下禁⽤ Actuator 接⼝:通过able:false配置将其禁⽤

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。