1. 通告信息
近日,安識科技A-Team團隊監(jiān)測到一則Spring Cloud GateWay存在遠(yuǎn)程代碼執(zhí)行漏洞的信息�����,并成功復(fù)現(xiàn)該漏洞�����。漏洞威脅等級:嚴(yán)重�����。Spring Cloud Gateway 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-22947)發(fā)生在Spring Cloud Gateway應(yīng)用程序的Actuator端點,其在啟用����、公開和不安全的情況下容易受到代碼注入的攻擊。攻擊者可通過該漏洞惡意創(chuàng)建允許在遠(yuǎn)程主機上執(zhí)行任意遠(yuǎn)程執(zhí)行的請求�。
對此,安識科技建議廣大用戶及時升級到安全版本����,并做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊����。
2. 漏洞概述
CVE: CVE-2022-22947
簡述:Spring Cloud GateWay是Spring Cloud的⼀個全新項⽬,⽬標(biāo)是取代Netflix Zuul�,它基于Spring5.0+SpringBoot2.0+WebFlux(基于⾼性能的Reactor模式響應(yīng)式通信框架Netty,異步⾮阻塞模型)等技術(shù)開發(fā)���,性能⾼于Zuul�,官⽅測試����,GateWay是Zuul的1.6倍���,旨在為微服務(wù)架構(gòu)提供⼀種簡單有效的統(tǒng)⼀的API路由管理⽅式���。
Spring Cloud Gateway 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-22947)發(fā)生在Spring Cloud Gateway應(yīng)用程序的Actuator端點����,其在啟用��、公開和不安全的情況下容易受到代碼注入的攻擊��。攻擊者可通過該漏洞惡意創(chuàng)建允許在遠(yuǎn)程主機上執(zhí)行任意遠(yuǎn)程執(zhí)行的請求�。
3. 漏洞危害
攻擊者可通過該漏洞惡意創(chuàng)建允許在遠(yuǎn)程主機上執(zhí)行任意遠(yuǎn)程執(zhí)行的請求。
4. 影響版本
目前受影響的版本:
3.1.0
3.0.0至3.0.6
3.0.0之前的版本
5. 解決方案
1. 3.1.x用戶應(yīng)升級到3.1.1+
2. 3.0.x用戶應(yīng)升級到3.0.7+
3. 如果不需要Actuator端點����,可以通過management.endpoint.gateway.enable:false配置將其禁用
4. 如果需要Actuator端點,則應(yīng)使用Spring Security對其進行保護
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
