修复通知!Spring Cloud 爆高危漏洞

2022年3月1日,Spring官方博客发布了一则关于Spring Cloud Gateway的CVE报告,其中包含一个代码注入的高风险漏洞

为了解决这些漏洞,版本3.0.7和3.1.1已经发布,Spring Cloud用户应及时将及时将版本升级到2021.0.1(包含3.1.1),或者如果你使用的是Spring Cloud 2020.0.x版本,可将Spring Cloud Gateway独立升级到3.0.7。

截自Spring官方博客

1、漏洞等级

Critical(严重)

2、漏洞描述(CVE-2022-22947)

使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。远程攻击者可以发出恶意的请求,从而在远程主机上执行任意的远程操作。

3、影响版本

Spring Cloud Gateway以下版本均受影响:

● 3.1.0● 3.0.0至3.0.6● 其他老版本

4、可通过以下几种方式进行修复

● 3.1.x用户应升级到3.1.1+● 3.0.x用户应升级到3.0.7+●如果不需要Actuator端点,可以通过management.endpoint.gateway.enabled:false配置将其禁用,如果需要Actuator端点,则应使用Spring Security对其进行保护,可参考以下网址:

https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

内容参考来源:Spring Cloud Gateway CVE reports published

你可能感兴趣的:(修复通知!Spring Cloud 爆高危漏洞)