Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
3.1.0
3.0.0至3.0.6
Spring Cloud Gateway 其他已不再更新的版本
这里很详细,不献丑了:https://github.com/vulhub/vulhub/blob/master/spring/CVE-2022-22947/README.zh-cn.md
poc:https://github.com/d-rn/vulBox/blob/main/cve_2022_22947.py
3.1.x版本用户及时升级到3.1.1+
3.0.x版本用户及时升级到3.0.7+
手机扫一扫
移动阅读更方便
你可能感兴趣的文章