CVE-2022-22947

CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析

目录(一)基本介绍1、微服务架构与SpringCloud2、SpringCloud生态3、网关作用4、SpringCloudGateway使用5、SpringCloudGateway概念5.1路由(Route)5.2断言(Predicate)5.3过滤器(Filter)6、SpringBootActuator6.1使用方法7、Gateway(网关服务)和Actuator(监控组件)8、Actuat
@Camelus·2024-02-19 13:52

【Web】CVE-2022-22947 SpringCloud Gateway SpEL漏洞学习

目录简介Actuator操作Gateway接口列表复现流程漏洞复现简单原理简介SpringBootActuator和SpringCloudGateway是Spring生态系统中的两个关键组件,它们在微服务架构中扮演着不同的角色,下面简要介绍它们之间的关系:SpringBootActuator:SpringBootActuator是SpringBoot提供的一个功能强大的监控和管理端点,可以用于监视
Z3r4y·2024-02-19 13:48

CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现

SpringCloudGateway简介Gateway是在Spring生态系统之上构建的API网关服务,基于Spring5,SpringBoot2和ProjectReactor等技术。Gateway旨在提供一种简单而有效的方式来对API进行路由,以及提供一些强大的过滤器功能,例如:熔断、限流、重试等。在Spring应用里面启用Gateway服务只需要在pom文件里面引入关于网关的依赖:org.sp
才俊同学·2024-02-10 05:13

vulhub中spring的CVE-2022-22947漏洞复现

SpringCloudGateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问ActuatorAPI的情况下,将可以利用该漏洞执行任意命令。参考链接:https://tanzu.vmware.com/security/cve-2022-22947https://wya.pl/2022/02/26/cve-2022-22
余生有个小酒馆·2024-02-04 11:15

spring-gateway3.1.1升级过程记录(Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947))

项目场景:1、SpringCloudGateway远程代码执行漏洞(CVE-2022-22947)所以必须升到3.1.12、以spring-cloud架构做的项目3、不想升级其他模块版本,只想升级spring-gateway4
73一人·2024-02-03 06:54

Spring boot命令执行 (CVE-2022-22947)漏洞复现和相关利用工具

Springboot命令执行(CVE-2022-22947)漏洞复现和相关利用工具名称:spring命令执行(CVE-2022-22947)描述:SpringCloudGateway是Spring中的一个
梧六柒·2023-11-30 07:45

春秋云境:CVE-2022-22947

春秋云境:CVE-2022-22947文章合集:春秋云境系列靶场记录(合集)SpringCloudGatewayspel远程代码执行:CVE-2022-22947漏洞介绍SpringCloudGateway
Acczdy·2023-11-22 21:42

CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议

原文出处:CVE-2022-22947:SpringCloudGateway远程代码执行漏洞复现及修复建议_爱吃橙子的羊的博客-CSDN博客CVE-2022-22947:SpringCloudGateway
yggcwhat·2023-11-03 20:00

Spring框架漏洞解析之二(CVE-2022-22965、CVE-2022-22947、CVE-2018-1273、CVE-2018-1270)

写在前边如果在浏览本文时发现技术性错误时,欢迎指正;如果需要本框架探测的POC和EXP也可以私信,我看到后也会及时恢复大家。总之,欢迎各路大佬叨扰!SpringFramework远程代码执行漏洞(CVE-2022-22965)一、漏洞简介:该CVE-2022-22965是在Java9的环境下,引入了class.module.classLoader,导致了CVE-2010-1622漏洞补丁的绕过,J
Guess'·2023-11-03 08:26

CVE-2022-22947 Spring Cloud Gateway远程代码执行

1简介SpringCloudGateway是基于SpringFramework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。当启用和暴露GatewayActuator端点时,使用SpringCloudGateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。2影响版本SpringCloudGateway
连人·2023-10-26 17:51

spring_cloud_RCE(CVE-2022-22947

简介SpringCloudGateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问ActuatorAPI的情况下,将可以利用该漏洞执行任意命令。环境docker-composeup-d利用首先,发送如下数据包即可添加一个包含恶意SpEL表达式的路由:POST/actuator/gateway/routes/lemonl
刘—手·2023-10-12 00:33

Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)

遵纪守法任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益漏洞描述:SpringCloudGateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问ActuatorAPI的情况下,将可以利用该漏洞执行任意命令。漏洞影响:3.1.0、3.0.0至3
migrate_·2023-10-08 11:54

Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护

CVE-2022-22947:代码注入漏洞严重性:Critical漏
程序猿DD·2023-09-12 06:12

[Vulfocus解题系列] Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947

前言之前我在对一个目标进行测试的时候扫出了spring信息泄露,并利用heapdump查到了Redis的明文密码,以为到这就结束的时候,一个师傅给我说这个站可以rce,我一看,是被我忽略的扫出的第一个路径/actuator/gateway/routes这就是经验上的差距了,我不知道存在这个路径就有可能rce,所以我决定拿vulfocus对这个漏洞进行复现,下次再见到这个路径,就一眼能看出来可能存在
00勇士王子·2023-09-03 09:28

CVE-2022-22947 远程代码执行漏洞复现分析

简介前段时间有篇文章披露了开源项目SpringCloudGateway的一个远程代码执行漏洞,编号为CVE-2022-22947
顶峰相见8号·2023-07-15 21:28

【漏洞分析】【spring-cloud-gateway】RCE CVE-2022-22947

0x00概要当SpringCloudGateway启用、暴露和不安全GatewayActuator端点时,攻击者可以通过向使用SpringCloudGateway的应用程序发送特制的恶意请求,触发远程任意代码执行,利用难度低,目前POC已公开,风险较高。SpringCloudGateway是基于SpringFramework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单、有
growing27·2023-06-18 04:20

CVE-2022-22947-Spring Cloud Gateway RCE漏洞

0x01漏洞背景近日,Spring官方发布了关于SpringCloudGateway的CVE报告,其中包含SpringCloudGateway远程代码执行漏洞(CVE-2022-22947)。
大棉花哥哥·2023-06-16 14:43

CVE-2022-22947 Spring Cloud Gateway远程代码执行漏洞复现

目录0x01声明:0x02简介:0x03漏洞概述:0x04影响版本:0x05环境搭建:Docker环境:漏洞环境:0x06漏洞复现:POC:利用POC:分析POC:0x07流量分析:POC流量:反弹shell流量:0x08修复建议:0x01声明:仅供学习参考使用,请勿用作违法用途,否则后果自负。0x02简介:SpringCloudGateway是基于SpringFramework和SpringBo
Evan Kang·2023-04-01 13:31

Spring Cloud Gateway远程命令执行漏洞分析(CVE-2022-22947)

目录漏洞描述环境搭建漏洞复现声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。漏洞描述使用SpringCloudGateway的应用程序在Actuator端点启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。当攻击者可以访问actuatorAPI时,就可以利
·2023-03-16 18:39

CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析

漏洞概要SpringCloudGateway是SpringCloud生态中的API网关,包含限流、过滤等API治理功能。Spring官方在2022年3月1日发布新版本修复了SpringCloudGateway中的一处代码注入漏洞。当actuator端点开启或暴露时,可以通过http请求修改路由,路由中包含的恶意filter参数会经过SPEL表达式解析,从而导致远程主机执行任意代码。影响范围:org
·2023-02-23 15:45

SpringCloudGateway远程代码执行(CVE-2022-22947

SSpringCloudGateway远程代码执行(CVE-2022-22947)基本介绍微服务架构与SpringCloudSpringCloudGatewayfilter路由filter过滤规则SpringBootActuatorActuator
half~·2022-12-19 20:49

Spring Cloud Gateway 突发高危漏洞,下一代云原生网关恰逢其时?

简介:Log4j2的漏洞刚告一段落,Spring官方在2022年3月1日发布了SpringCloudGateway的两个CVE漏洞:分别为CVE-2022-22946(严重性:Medium)与CVE-2022
阿里云云栖号·2022-11-29 20:35

vulfocus复现:spring 命令执行 (CVE-2022-22947)

SpringCloudGateway是SpringCloud下的一个项目,该项目是基于Spring5.0、SpringBoot2.0和ProjectReactor等技术开发的网关,它旨在为微服务架构提供一种简单有效、统一的API路由管理方式。影响范围:SpringCloudGateway3.1.x<3.1.1SpringCloudGateway3.0.x<3.0.7其他旧的、不受支持的Spring
woai_zhongguo·2022-10-14 11:14

Spring Cloud GateWay SPEL RCE(CVE-2022-22947

SpringCloudGateWaySPELRCE(CVE-2022-22947)0x00前言0x01漏洞复现0x02漏洞分析0x03总结0x04参考文章0x00前言这个漏洞本质是一个SPEL注入漏洞,
浔阳江头夜送客丶·2022-09-15 03:54

Spring Cloud Gateway 突发高危漏洞,下一代云原生网关恰逢其时?

SpringCloudGateway突发高危漏洞Log4j2的漏洞刚告一段落,Spring官方在2022年3月1日发布了SpringCloudGateway的两个CVE漏洞:分别为CVE-2022-22946(严重性:Medium)与CVE
阿里云云原生·2022-06-20 13:33

突发!Spring Cloud 爆高危漏洞。。赶紧修复!!

2022年3月1日,Spring官方发布了关于SpringCloudGateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947:版本/分支/tag:3.4.X问题描述
程序IT圈·2022-04-26 09:33

CVE-2022-22947 SpringCloud GateWay SpEL RCE

CVE-2022-22947SpringCloudGateWaySpELRCE目录CVE-2022-22947SpringCloudGateWaySpELRCE写在前面环境准备漏洞复现漏洞分析内存马注入PayloadHandlerMapping内存马漏洞武器化写在前面学习记录环境准备IDEA的话需要下载Kotlin插件的,针对于这个环境的话,Kotlin插件对IDEA的版本有要求,比如IDEA20
Zh1z3ven·2022-04-02 17:00

突发!Spring Cloud 爆高危漏洞。。赶紧修复!!

2022年3月1日,Spring官方发布了关于SpringCloudGateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947:版本/分支/tag:3.4.X问题描述
架构师小秘圈·2022-03-31 09:20

Spring Cloud Gateway_CVE-2022-22947漏洞复现

目录漏洞描述影响版本漏洞复现环境搭建过程批量url检测漏洞修复漏洞描述SpringCloudGateway远程代码执行漏洞(CVE-2022-22947)发生在SpringCloudGateway应用程序的
段混子玩安全·2022-03-30 08:54

spring_cloud_rce(CVE-2022-22947)漏洞复现

漏洞简介SpringCloudGateway提供了一个库,用于在SpringWebFlux之上构建API网关。在3.1.0和3.0.6之前的版本中使用SpringCloudGateway的应用程序在启用、暴露和不安全的GatewayActuator端点时容易受到代码注入攻击。远程攻击者可以发出恶意制作的请求,允许在远程主机上进行任意远程执行。影响版本SpringCloudGateway<3.1.1
3tefanie丶zhou·2022-03-30 08:24

CVE-2022-22947 SpringCloud Gateway 远程命令执行漏洞

CVE-2022-22947SPRINGCLOUDGATEWAYSPELRCE摘要SpringCloudGateway的商业产品是分布式API网关,用于路由HTTP请求并处理跨领域问题,如单点登录(SSO),速率限制,访问控制。借助SpringCloudGatewayforKubernetes,运营商可以专注于管理和监控其目标环境中的API网关,而应用程序开发人员可以专注于API的公开方式,并应用
北境L·2022-03-30 08:53

Spring Cloud 再爆高危漏洞.... 赶紧修复

2022年3月1日,Spring官方发布了关于SpringCloudGateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947:版本/分支/tag:3.4.X问题描述
终码一生·2022-03-30 08:53

Spring Cloud Gateway 突发高危漏洞,下一代云原生网关恰逢其时?

简介:Log4j2的漏洞刚告一段落,Spring官方在2022年3月1日发布了SpringCloudGateway的两个CVE漏洞:分别为CVE-2022-22946(严重性:Medium)与CVE-2022
·2022-03-15 14:05

Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947

参考:https://y4er.com/post/cve-2022-22947-springcloud-gateway-spel-rce-echo-responsehttps://cloud.spring.io/spring-cloud-gateway/multi/multi__actuator_api.html漏洞描述使用SpringCloudGateway的应用程序在Actuator端点在启用
三亿人·2022-03-08 00:00

CVE-2022-22947 Spring Cloud Gateway SPEL RCE复现

3.1.1SpringCloudGateway<3.0.7p牛的vulhub已经搭好docker了,https://github.com/vulhub/vulhub/tree/master/spring/CVE
bitterz·2022-03-04 16:00

Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护

CVE-2022-22947:代码注入漏洞严重性:Critical漏
·2022-03-02 12:12

Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护

CVE-2022-22947:代码注入漏洞严重性:Critical漏
程序猿DD·2022-03-02 11:00
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他