CVE-2022-46166：Spring Boot Admin 任意代码执行

安全研究人员在 Spring Boot Admin 中发现了一个高危漏洞，这是一个远程代码执行漏洞，可以让远程攻击者对Spring Boot 应用程序执行任意代码。

Spring Boot 可帮助您轻松创建由 Spring 驱动的生产级应用程序和服务。Spring Boot admins 是一个用于管理 Spring Boot 应用程序的开源管理用户界面。应用程序注册到我们的 Spring Boot Admin Client（通过 HTTP）或使用 Spring Cloud（例如 Eureka、Consul）发现。UI 只是 Spring Boot Actuator 端点之上的 Vue.js 应用程序。

在 codecentric 最近发布的公告中，该公司详细介绍了在 Spring Boot Admins 之前版本 < 2.6.10、之前版本 < 2.7.8 和 < 之前版本 3.0.0-M6 中发现的 CVE-2022-46166。

“所有运行 Spring Boot Admin Server、启用通知程序（例如 Teams-Notifier）并通过 UI 写入环境变量的用户都可能受到影响。”

如果您没有在/ent 执行器端点上使用通知程序或禁用写访问（POST 请求），则此漏洞不起作用

Codecentric 已发布 Spring Boot Admins 2.6.10、2.7.8 和 3.0.0-M6，其中包括针对此安全漏洞的修复。Spring Boot Admin 2.6.10 和 2.7.8 通过实施 SpEL 的SimpleExecutionContext 修复了 CVE- 2022-46166。这可以防止任意代码执行（即 SpEL 注入）。

因此，强烈建议开发人员和管理员立即将他们的软件升级到最新版本。

原文始发于微信公众号（Ots安全）：CVE-2022-46166：Spring Boot Admin 任意代码执行