【编者按】该漏洞(CVE-2022-22947)因其潜在的巨大风险,被列为 2024 重保季必修漏洞,普遍存在于各类相关的应用系统中。例如,在一些企业的内部管理系统、金融交易平台以及政务服务网站等关键业务场景中,都发现了这一漏洞的踪迹。若不及时修复,可能会导致数据泄露、系统瘫痪甚至更为严重的安全事故。
在攻防演练开始前发现重要资产系统存在该漏洞未及时修复,安全漏洞防治中心的团队成员即刻编制了《Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)修复手册(SOP)》并在 Spring-Cloud-Gateway-Server-3.0.3 版本的环境里成功完成验证,提高漏洞修复效率和质量。
全文较长,我们将这个SOP转成了PDF方便下载和使用。希望能帮到你。
请回复 scg2022p 即可获取!
(打开链接后无需登录,关闭右上方登录窗口即可查看)
【漏洞概述】
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
【影响版本】
version<3.0.7
version=3.1.0
我们将持续更新「安全漏洞处置SOP」
同时欢迎私信投稿分享经验。
872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
