所在的位置: html >> html优势 >> SpringCloudGateway远程

SpringCloudGateway远程

  近日,安全狗应急响应中心监测到VMware官方发布安全通告披露了其SpringCloudGateway存在代码注入漏洞,漏洞编号CVE--,可导致远程代码执行等危害。

  为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

  漏洞描述

  SpringCloudGateway是基于SpringFramework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单有效的统一的API路由管理方式。

  据公告描述,当启用和暴露GatewayActuator端点时,使用SpringCloudGateway的应用程序可受到代码注入攻击。远程攻击者可以发出恶意制作的请求,从而远程执行任意代码。

  安全通告信息

  漏洞名称:SpringCloudGateway远程代码执行漏洞

  漏洞影响版本:SpringCloudGateway3.1.1

  SpringCloudGateway3.0.7

  SpringCloudGateway其他已不再更新的版本

  漏洞危害等级:高危

  厂商是否已发布漏洞补丁:是

  版本更新   处置措施

  安全建议

  官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

  临时缓解措施

  1.如果不需要Gatewayactuatorendpoint,可通过以下配置文件禁用:

  management.endpoint.gateway.enabled:false

  2.如果需要actuator,则应使用SpringSecurity对其进行防护,可参考以下网址:

     参考连接

     


转载请注明:http://www.aierlanlan.com/grrz/4220.html

  • 上一篇文章:
  •   
  • 下一篇文章: 没有了