组件背景:
Spring Cloud Gateway提供了一个构建在 Spring 生态之上的 API Gateway,包括:Spring 6、Spring Boot 3 和 Project Reactor。Spring Cloud Gateway 旨在提供一种简单而有效的方式来路由到 API,并为它们提供横切关注点,例如:安全性、监控/指标和弹性。
3月1日,VMware发布安全公告,Spring Cloud Gateway中存在远程代码执行漏洞(CVE-2022-22947),该漏洞的CVSSv3评分为10.0。当启用或暴露不安全的 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击,远程攻击者可以通过发送恶意请求以执行任意代码。
漏洞详情:
当启用、暴露和不安全的 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击。远程攻击者可以发出恶意制作的请求,允许在远程主机上进行任意远程执行。
CVE 编号:
CVE-2022-22947
漏洞等级:
紧急/严重/重要
受影响版本:
Spring Cloud Gateway 3.1.0
Spring Cloud Gateway 3.0.0 - 3.0.6
Spring Cloud Gateway 其它不支持的、已不再更新的版本
是否已有POC/EXP:
是
权限要求:
无需权限
攻击复杂度:
容易
对服务器的危害:
会导致服务器失陷
fofa语句:
app="vmware-SpringBoot-framework"
CVSS3评分: 10
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H阿里云漏洞库评分:9.9
缓解方法:
受影响版本的用户可以通过以下措施补救:3.1.x用户应升级到3.1.1+3.0.x用户应升级到3.0.7+如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用如果需要Actuator端点,则应使用Spring Security对其进行保护下载安全版本:https://github.com/spring-cloud/spring-cloud-gateway
相关链接:
https://github.com/lucksec/Spring-Cloud-Gateway-CVE-2022-22947https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security%E3%80%82
关于我们:
Orange Cyberdefense 公司是 Orange 集团旗下的专业网络安全业务公司,为全球组织提供安全管理、威胁检测与响应的托管服务等。作为世界领先的安全提供商,我们致力于保障自由并构建一个更安全的数字世界。
联系我们:
原文始发于微信公众号(誓联信息 Orange Cyberdefense):急需修复!Spring Cloud Gateway RCE远程代码执行漏洞CVE-2022-22947
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论