近日,安全狗应急响应中心监测到VMware官方发布安全通告披露了其Spring Cloud Gateway存在代码注入漏洞,漏洞编号CVE-2022-22947,可导致远程代码执行等危害。
为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞描述
Spring Cloud Gateway是基于Spring Framework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单有效的统一的API路由管理方式。
据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。远程攻击者可以发出恶意制作的请求,从而远程执行任意代码。
安全通告信息
漏洞名称:Spring Cloud Gateway远程代码执行漏洞
漏洞影响版本:Spring Cloud Gateway<3.1.1
Spring Cloud Gateway<3.0.7
Spring Cloud Gateway其他已不再更新的版本
漏洞危害等级:高危
厂商是否已发布漏洞补丁:是
版本更新地址:https://tanzu.vmware.com/security/cve-2022-22947
处置措施
安全建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
临时缓解措施
1.如果不需要Gateway actuator endpoint,可通过以下配置文件禁用:
management.endpoint.gateway.enabled:false
2.如果需要actuator,则应使用Spring Security对其进行防护,可参考以下网址:
https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security。
参考连接
https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security
https://tanzu.vmware.com/security/cve-2022-22947