一、漏洞详情

Spring Cloud Gateway是基于Spring Framework 和 Spring Boot构建的网关，它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。

VMware发布安全公告，Spring Cloud Gateway中存在远程代码执行漏洞。当启用或暴露不安全的Gateway Actuator端点时，使用Spring Cloud Gateway的应用程序容易受到代码注入攻击，远程攻击者可以通过发送恶意请求以执行任意代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Spring Cloud Gateway 3.1.0

Spring Cloud Gateway 3.0.0 - 3.0.6

Spring Cloud Gateway 其它不支持的、已不再更新的版本

三、修复建议

目前此漏洞已经修复，受影响用户可以升级更新到以下版本：

Spring Cloud Gateway >= 3.1.1

Spring Cloud Gateway >= 3.0.7

缓解措施：

1.如果不需要Gateway actuator endpoint，可通过management.endpoint.gateway.enabled:false禁用它。

2.如果需要actuator，则应使用 Spring Security对其进行防护，可参考：https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security