近日,安全狗应急响应中心监测到VMware官方发布安全通告披露了其SpringCloudGateway存在代码注入漏洞,漏洞编号CVE--,可导致远程代码执行等危害。
为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞描述
SpringCloudGateway是基于SpringFramework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单有效的统一的API路由管理方式。
据公告描述,当启用和暴露GatewayActuator端点时,使用SpringCloudGateway的应用程序可受到代码注入攻击。远程攻击者可以发出恶意制作的请求,从而远程执行任意代码。
安全通告信息
漏洞名称:SpringCloudGateway远程代码执行漏洞
漏洞影响版本:SpringCloudGateway3.1.1
SpringCloudGateway3.0.7
SpringCloudGateway其他已不再更新的版本
漏洞危害等级:高危
厂商是否已发布漏洞补丁:是
版本更新 处置措施
安全建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
临时缓解措施
1.如果不需要Gatewayactuatorendpoint,可通过以下配置文件禁用:
management.endpoint.gateway.enabled:false
2.如果需要actuator,则应使用SpringSecurity对其进行防护,可参考以下网址:
参考连接