Spring Cloud Gateway中存在远程代码执行漏洞容易受到代码注入攻击

最新推荐文章于 2024-04-04 06:37:12 发布
最新推荐文章于 2024-04-04 06:37:12 发布
阅读量673 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happy_a_bin/article/details/130264343
版权

一、漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 3月1日,VMware发布安全公告,Spring Cloud Gateway中存在远程代码执行漏洞(CVE-2022-22947),该漏洞的CVSSv3评分为10.0。当启用或暴露不安全的 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击,远程攻击者可以通过发送恶意请求以执行任意代码。

二、影响版本 Spring Cloud Gateway 3.1.0 Spring Cloud Gateway 3.0.0 - 3.0.6 Spring Cloud Gateway 其它不支持的、已不再更新的版本 三、处置措施 1、立刻升级至3.0.7以上(不含3.1.0)或3.1.1以上; 2、使用ls -al命令检查/tmp/.ICE-unix目录下有无异常文件(正常为空)。

3、检查本机或前端系统access.log中有无关键字"/actuator/gateway/routes"。

happy_a_bin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
Spring Cloud Gateway 实现代码
07-18
代码为我的Spring Cloud Gateway专栏的配套代码,主要是Gateway的基本使用代码。 1. 包含cloud-alibaba-gateway-9999网关服务,springcloudalibaba-nacos-9001和demo-9002两个业务服务 2. 基于spring-boot 的...
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
Fiverya的博客
01-10 1042
CVE-2022-22947
Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护
最新发布
m0_60666841的博客
04-04 796
一般像这样的大企业都有好几轮面试,所以自己一定要花点时间去收集整理一下公司的背景,公司的企业文化,俗话说「知己知彼百战不殆」,不要盲目的去面试,还有很多人关心怎么去跟HR谈薪资。这边给大家一个建议,如果你的理想薪资是30K,你完全可以跟HR谈33~35K,而不是一下子就把自己的底牌暴露了出来,不过肯定不能说的这么直接,比如原来你的公司是25K,你可以跟HR讲原来的薪资是多少,你们这边能给到我的是多少?你说我这边希望可以有一个20%涨薪。
Spring-Cloud-Gateway代码注入漏洞及解决
qq_34905631的博客
09-27 6513
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击攻击者可以发送特制的恶意请求,从而远程执行任意代码
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
HEAVEN569的博客
06-21 1543
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
SpringCloud Gateway跨域配置代码实例
08-25
主要介绍了SpringCloud Gateway跨域配置代码实例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
最新Spring Cloud Gateway 官方参考指南-文版-3.x
08-16
Spring Cloud Gateway 版本为 3.1.3 大家好,欢迎来到阿提说说博客 “纸上得来终觉浅,绝知此事要躬行。”(南宋)陆游 目前相关的教程虽然有很多,但总觉得被各位大佬压缩,看到的只是一部分知识,并不全面,...
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot渗透总结
weixin_72753070的博客
07-25 1234
今天的文章主要跟大家聊一下关于springboot环境下的渗透。Springboot现如今可以说是java开发的一个入门框架,深受各个公司亲赖,现有java站点springboot还是有一定比例的,所以说还是有必要对springboot渗透有一定了解。...
CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析
m0_61506558的博客
09-18 7213
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击攻击者可以发送特制的恶意请求,从而远程执行任意代码。(二)漏洞复现。
Spring Cloud Gateway(CVE-2022-22947)漏洞复现
weixin_45095113的博客
07-28 2304
Spring Cloud Gateway(CVE-2022-22947)漏洞复现
春秋云镜 CVE-2022-22947
qq_22002773的博客
07-18 327
春秋云镜 CVE-2022-22947
spring cloud gateway 漏洞导致被挖矿程序攻击(kdevtmpfsi)问题处理
Devin's Blog
07-30 1140
spring cloud gateway 漏洞导致被挖矿程序攻击(kdevtmpfsi)问题处理
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析(CVE-2022-22947)
murphysec的博客
03-03 3957
漏洞简述 3月1日,VMware发布了针对Spring Cloud Gateway漏洞通告,当actuator端点开启并对外暴露时,攻击者可以构造恶意请求实现远程任意代码执行Spring Cloud GatewaySpring Cloud 生态的API网关,包含限流、过滤等API治理功能。Actuator是Spring Boot生态的应用监控组件,提供了通过http访问监控运行状态的能力。 当actuator端点开启时,可以通过http请求修改路由,路由包含的filter参数会经过SPE
SpringCloudGateway漏洞,快看看你的服务招没?
Java笔记虾
03-13 1397
点击关注公众号,利用碎片时间学习同学们,最近相信大家都看到了SpringCloudGateway爆出相关漏洞的信息了,既然如此,你们还不抓紧修改自己的程序吗?即使你没涉及到此次的漏洞,我也...
Spring Cloud Gateway 远程代码执行漏洞
qq_52072846的博客
03-18 436
漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 漏洞环境 git clone https://github.com/vulhub/vulhub/blob/master/spring/CVE-2022-22947/docker-compose.yml dock
spring cloud gateway使用教程,代码示例
06-09
下面是一个简单的Spring Cloud Gateway的使用教程和代码示例: 1. 首先,在pom.xml添加Spring Cloud Gateway的依赖: ```xml <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> </dependency> ``` 2. 创建一个配置类,配置路由规则和过滤器: ```java @Configuration public class GatewayConfig { @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() .route("path_route", r -> r.path("/get") .uri("http://httpbin.org")) .build(); } @Bean public TokenFilter tokenFilter() { return new TokenFilter(); } } ``` 上面的代码定义了一个路由规则,将请求路径为 "/get" 的请求转发到 "http://httpbin.org",并且定义了一个过滤器 TokenFilter。 3. 创建一个过滤器: ```java public class TokenFilter implements GatewayFilter, Ordered { private static final String TOKEN = "token"; @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { String token = exchange.getRequest().getQueryParams().getFirst(TOKEN); if (StringUtils.isEmpty(token)) { exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED); return exchange.getResponse().setComplete(); } return chain.filter(exchange); } @Override public int getOrder() { return -100; } } ``` 上面的代码实现了一个简单的Token校验过滤器,如果请求不包含 token,返回 401 错误。 4. 启动应用程序,访问 http://localhost:8080/get?token=123,即可看到网关将请求转发到 http://httpbin.org,并且TokenFilter对请求进行了校验。 以上就是一个简单的Spring Cloud Gateway的使用教程和代码示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值