超级会员免费看
本文详细介绍了Spring Cloud Gateway的CVE-2022-22947远程代码执行漏洞,包括漏洞描述、影响版本、复现过程以及修复建议。通过发送特定的数据包,攻击者可以执行SpEL表达式,获取系统权限。建议受影响的用户尽快升级到3.1.1或3.0.7以上版本,并考虑禁用Actuator端点或使用Spring Security进行保护。
声明
文章仅用于技术研究,切勿从事非法用途,一切后果自行承担,与本作者无关!
前言
Spring Cloud Gateway 是 Spring Cloud 下的一个项目,该项目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效统一的 API 路由管理方式。
一、漏洞描述
近日,VMware 官方发布安全公告,其中包含 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口,则可能存在被 CVE-2022-22947 漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。
订阅专栏 解锁全文
871
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
