一、漏洞详情
Spring Cloud Gateway是基于Spring Framework 和 Spring Boot构建的网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。
VMware发布安全公告,Spring Cloud Gateway中存在远程代码执行漏洞。当启用或暴露不安全的Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序容易受到代码注入攻击,远程攻击者可以通过发送恶意请求以执行任意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Spring Cloud Gateway 3.1.0
Spring Cloud Gateway 3.0.0 - 3.0.6
Spring Cloud Gateway 其它不支持的、已不再更新的版本
三、修复建议
目前此漏洞已经修复,受影响用户可以升级更新到以下版本:
Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7
缓解措施:
1.如果不需要Gateway actuator endpoint,可通过management.endpoint.gateway.enabled:false禁用它。
2.如果需要actuator,则应使用 Spring Security对其进行防护,可参考:https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security