0x01 漏洞背景
近日,Spring官方发布了关于Spring Cloud Gateway的CVE报告,其中包含Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。
Gateway是在Spring生态系统之上构建的API网关服务,基于Spring 5,Spring Boot 2和 Project Reactor等技术。Gateway旨在提供一种简单而有效的方式来对API进行路由,以及提供一些强大的过滤器功能, 例如:熔断、限流、重试等。
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求。
0x02 风险等级
严重
0x03 影响版本
已知受影响应用及组件:
Spring Cloud Gateway 3.1.0
Spring Cloud Gateway 3.0.0至3.0.6
Spring Cloud Gateway 3.0.0之前的版本
0x04 修复建议
1、升级版本解决
3.1.x用户应升级到3.1.1+
3.0.x用户应升级到3.0.7+
2、禁用服务解决
如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用
如果必须需要Actuator端点,则应使用Spring Security对其进行保护