安全公告

【漏洞通告】关于 Spring Cloud Gateway 远程代码执行漏洞的通告

我中心技术支撑单位“深圳网安检测”近日监测发现VMware旗下的Spring Cloud Gateway网关框架存在远程代码执行漏洞(CVE-2022-22947)经验证,攻击者可利用该漏洞恶意创建允许在远程主机上执行任意远程执行的请求,从而获取服务器的控制权限。经统计,该网关框架广泛应用于各行各业,在国内超过50万个使用量,且网上已出现漏洞利用的演示方法,利用难度相对简单,影响严重。目前,Spring Cloud官方已更新安全版本,请各单位高度重视,尽快自查该网关框架使用情况,及时更新安全版本。


Spring Cloud Gateway 是Spring Cloud官方推出的第二代网关框架旨在为微服务架构提供一种简单且有效的接口路由的管理方式,并基于过滤器或者拦截器的方式提供网关的基本功能,例如安全认证、监控、限流等等。


图片


   

   漏洞详情   


  

当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。


漏洞名称:Spring Cloud Gateway 远程代码执行漏洞


漏洞编号:CVE-2022-22947


危害等级:




    影响范围   



受影响版本

  • Spring Cloud Gateway < 3.1.1

  • Spring Cloud Gateway < 3.0.7

  • Spring Cloud Gateway 旧的、不受支持的版本也会受到影响


安全版本

  • Spring Cloud Gateway >= 3.1.1

  • Spring Cloud Gateway >= 3.0.7





    解决方案   



目前, Spring Cloud 官方已发布安全更新,请及时下载安全版本进行升级和采取以下措施进行防护:

  1. 如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用;

  2. 如果需要Actuator端点,则应使用Spring Security对其进行保护。


下载地址:

https://github.com/spring-cloud/spring-cloud-gateway


参考链接:

https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-published


文章来源:网络安全110 广东省网络安全应急响应中心