Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）警报

概述

近日，绿盟科技 CERT 检测到 Spring 发布报告修复 Spring Cloud Gateway 代码注入漏洞（CVE-2022-22947）。由于 Spring Cloud Gateway 的 Actuator 端点存在缺陷，当用户启用并暴露不安全的 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击。未经身份验证的攻击者可以通过向目标系统发送特制的 SpEL 表达式进行注入来实现远程代码执行。CVSS 评分为 10。目前，漏洞 PoC 已被披露。请尽快采取保护措施。

Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 的 API 网关。目标是为微服务架构提供一种简单、有效、统一的API路由管理方法。

参考链接：https ://tanzu.vmware.com/security/cve-2022-22947

影响范围

受影响的版本

• Spring Cloud 网关 3.1.0

• 3.0.0 <= 春云网关 <= 3.0.6

• 其他版本的 Spring Cloud Gateway 停止维护

不受影响的版本

• Spring Cloud 网关 >= 3.1.1

• Spring Cloud Gateway >= 3.0.7

漏洞检测

手动检查

相关用户可以查看Spring配置文件中是否有对外启用Spring Cloud Gateway的Actuator端点，例如：application.properties中是否有如下配置。如果存在且 Spring Cloud Gateway 版本在范围内，则存在安全风险。

漏洞缓解

官方更新

目前官方已经发布安全补丁和新版本修复该漏洞。请尽快更新版本以保护受影响的用户。官方下载链接：https ://spring.io/blog/2022/02/18/spring-cloud-2021-0-1-has-been-released

其他方法

如果相关用户暂时无法进行更新操作，可以采取以下措施进行临时缓解：

1.如果业务不需要使用Gateway actuator端点，可以通过修改配置文件为management.endpoint.gateway.enabled: false来禁用。

2、如果需要使用执行器，需要使用Spring Security进行保护。操作请参考官方指南：

https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator .endpoints.security

陈述

本公告仅用于描述潜在风险。绿盟科技不对本公告提供任何承诺或承诺。对于因传播和/或使用本公告而造成的任何直接和/或间接后果和损失，绿盟科技和作者不承担任何责任。绿盟科技保留修改和解释本公告的所有权利。复制或传输本公告时，请包含此声明段落。未经绿盟科技许可，请勿修改本公告、添加/删除任何信息或将本公告用于商业目的。

关于绿盟科技

NSFOCUS, Inc. 是全球网络和网络安全领导者，保护企业和运营商免受高级网络攻击。该公司的智能混合安全战略利用基于实时全球威胁情报的云和本地安全平台，提供针对高级网络攻击的多层、统一和动态保护。

绿盟科技与财富世界 500 强企业合作，其中包括全球五家最大的金融机构中的四家、保险、零售、医疗保健、关键基础设施行业的组织以及政府机构。绿盟科技在 60 多个国家拥有技术和渠道合作伙伴，是微软主动保护计划 (MAPP) 和云安全联盟 (CSA) 的成员。

该公司是绿盟科技集团有限公司的全资子公司，业务遍及美洲、欧洲、中东和亚太地区。