您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

Spring Cloud Gateway (CVE-2022-22947)远程代码执行漏洞解决方案

作者:安全狗
发布时间:2022-03-03

  近日,安全狗应急响应中心监测到VMware官方发布安全通告披露了其Spring Cloud Gateway存在代码注入漏洞,漏洞编号CVE-2022-22947,可导致远程代码执行等危害。

  为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

  漏洞描述

  Spring Cloud Gateway是基于Spring Framework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单有效的统一的API路由管理方式。

  据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。远程攻击者可以发出恶意制作的请求,从而远程执行任意代码。

  安全通告信息

  漏洞名称:Spring Cloud Gateway远程代码执行漏洞

  漏洞影响版本:Spring Cloud Gateway<3.1.1

  Spring Cloud Gateway<3.0.7

  Spring Cloud Gateway其他已不再更新的版本

  漏洞危害等级:高危

  厂商是否已发布漏洞补丁:是

  版本更新地址:https://tanzu.vmware.com/security/cve-2022-22947

  处置措施

  安全建议

  官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

  临时缓解措施

  1.如果不需要Gateway actuator endpoint,可通过以下配置文件禁用:

  management.endpoint.gateway.enabled:false

  2.如果需要actuator,则应使用Spring Security对其进行防护,可参考以下网址:

  https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security。

  参考连接

  https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

  https://tanzu.vmware.com/security/cve-2022-22947

标签: 安全漏洞