Spring Cloud Gateway远程代码执行漏洞风险

最新推荐文章于 2023-06-22 14:11:36 发布
最新推荐文章于 2023-06-22 14:11:36 发布
阅读量9.9k 收藏
点赞数
分类专栏: # 🐏SpringCloud 文章标签: gateway springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35427589/article/details/123347064
版权

近日,VMware 官方发布安全公告,其中包含 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口,则可能存在被 CVE-2022-22947 漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。

影响范围

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
其他旧的、不受支持的 Spring Cloud Gateway 版本

修复建议

  1. 更新升级 Spring Cloud Gateway 到以下安全版本:

3.1.x 用户需要更新到 3.1.1+
3.0.x 需要更新到 3.0.7+

  1. 或在不影响业务的情况下禁用 Actuator 接口:通过management.endpoint.gateway.enable:false配置将其禁用
  2. 如果需要Actuator端点,则应使用Spring Security对其进行保护

参考链接
https://tanzu.vmware.com/security/cve-2022-22947

共饮一杯无
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Cloud Gateway 实现代码
07-18
代码为我的Spring Cloud Gateway专栏的配套代码,主要是Gateway的基本使用代码。 1. 包含cloud-alibaba-gateway-9999网关服务,springcloudalibaba-nacos-9001和demo-9002两个业务服务 2. 基于spring-boot 的2.3.12.RELEASE版本, spring-cloud的Hoxton.SR12版本,spring-cloud-alibaba的2.2.8.RELEASE版本 3. Spring Cloud Gateway版本为2.2.9.RELEASE版本 4. 代码需配合Nacos一起使用
Spring Cloud Gateway 微服务网关
Dong滴个Dong的博客
04-18 2629
Spring Cloud Gateway 微服务网关 创建项目(命名 为 Gateway), 添加pom 依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId&...
Spring cloud gateway工作流程原理解析
08-19
主要介绍了Spring cloud gateway工作流程原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Gateway 2.1 使用手册中文版.pdf
10-29
这个项目提供了一个构建在 Spring 生态系统之上的 API 网关,包括:Spring 5,Spring Boot 2 和 Project Reactor。 Spring Cloud Gateway 旨在提供一种简单而有效的 API 路 由方式,并为其提供横切关注点,例如:安全,监控/指标和弹性。
spring cloud gateway整合sentinel实现网关限流
08-25
主要介绍了spring cloud gateway整合sentinel实现网关限流,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Gateway:Actuator API(执行器API)
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
06-22 913
/gateway执行器端点允许您监视和与Spring Cloud Gateway应用程序进行交互。为了远程访问,该端点必须在应用程序属性中启用并通过HTTP或JMX公开。
SpringCloud-gateway Redis动态路由及 各EndPoint介绍
z69183787的专栏
12-02 2625
Spring Cloud Gateway 微服务网关 创建项目(命名 为 Gateway), 添加pom 依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> <version>2.2.0.RELEASE</version> &
SpringCloudSpring Cloud Gateway中如何配置LoadBalancer
Bejpse的博客
03-23 1776
要在Spring-Cloud-Gateway中配置LoadBalancer,需要用到spring-cloud-starter-netflix-ribbon,因此需要将它引入。 pom.xml: java代码: import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.EnableAutoConfiguration; import org.springframewor
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)修复建议
lujiawei00的专栏
03-04 1098
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)修复建议
SpringCloudGateway搭建和常见使用方法
weixin_43757849的博客
06-05 1216
**Spring Cloud Gateway:**提供一种简单而有效的方式来对API进行路由,并为他们提供切面,例如:安全性,监控/指标 和弹性等。 温馨提示:在学习新技术之前建议先看看 官方文档 1.如何在工程中引用Spring Cloud Gateway 引入jar包 <dependency> <groupId>org.springframework.cloud</groupId> <art
SpringCloud Gateway跨域配置代码实例
08-25
主要介绍了SpringCloud Gateway跨域配置代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解SpringCloudGateway内存泄漏问题
08-18
主要介绍了详解SpringCloudGateway内存泄漏问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springcloud gateway 全局过滤器统一签名判定.doc
12-01
springcloud gateway 全局滤器 统一签名判定
Spring Cloud Gateway关闭admin监控
绅士jiejie的博客
05-09 1022
Spring Cloud Gateway关闭admin监控
Spring Cloud Kubernetes之实战一配置管理
wangsofa的博客
03-11 1107
一直以来,玩springcloud的,基本都是在玩Springboot1.x,Springcloud(Dalston版)的众多相关组件来做配置中心、服务注册与发现,网关用的是Netflix公司对springboot做的LB,等等,但是这些东西太过沉重,复杂了。在一个以k8s为基础的iaas服务系统,如果不用k8s的特性来做这些事,那是说不过去的。理由这就不重复述说了。一句话:减少系统服务的复杂性。...
Spring Cloud Gateway代码执行漏洞
qq_45455136的博客
03-13 4316
CVE-2022-22947基本介绍基本介绍Spring Cloud Gateway
SpringCloudGateway漏洞,快看看你的服务中招没?
Java笔记虾
03-13 1393
点击关注公众号,利用碎片时间学习同学们,最近相信大家都看到了SpringCloudGateway爆出相关漏洞的信息了,既然如此,你们还不抓紧修改自己的程序吗?即使你没涉及到此次的漏洞,我也...
Spring Cloud Gateway 监控、多网关实例路由共享 | Spring Cloud 18
gmHappy
03-11 5914
Actuator是Spring Boot提供的用来对应用系统进行监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。 Actuator的核心是端点EndpointEndpoint可以让我们监视应用程序并与其交互。Spring Boot包含许多内置端点,并允许您添加自己的端点。 我们可以启用或禁用每个端点,启用或禁用端点控制是否创建端点并且其bean存在于应用程序上下文中。 要进行远程访问,还必须通过JMX或HTTP公开端点。大多数端点HTTP访问默认是关闭的。
Spring Cloud GateWay55406未授权访问漏洞
最新发布
12-29
Spring Cloud Gateway 55406未授权访问漏洞是指当启用和暴露Gateway Actuator端点时,攻击者可以发送特制的恶意请求,从而远程执行任意代码。这可能导致安全漏洞,使得攻击者可以绕过身份验证和授权机制,未经授权地访问和操作API网关。 为了解决这个漏洞,可以采取以下措施之一: 1. 更新Spring Cloud Gateway版本:确保使用的Spring Cloud Gateway版本已经修复了该漏洞。可以通过查看官方文档或升级到最新版本来获取修复程序。 2. 禁用Gateway Actuator端点:如果不需要使用Gateway Actuator端点,可以禁用它们以减少潜在的攻击面。可以通过配置文件或代码来禁用这些端点。 3. 配置安全措施:可以通过配置安全措施来限制对Gateway Actuator端点的访问。例如,可以使用Spring Security来添加身份验证和授权机制,只允许授权用户访问这些端点。 请注意,以上措施仅为一般建议,具体的修复方法可能因环境和需求而异。建议在实施之前仔细阅读官方文档和安全建议,并根据实际情况进行调整和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

共饮一杯无

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值