一、Spring Cloud Gateway 概述
Spring Cloud Gateway 是提供了一个用于在Spring Webflux之上构建API网关的库。Spring Cloud Gateway旨在提供一种简单而有效的方式来路由到API并为它们提供交叉关注点,例如:安全、监控和弹性。
Spring Cloud Gateway特性:
基于Spring Framework 5、Project Reactor和Spring Boot 2.0。
能够匹配任何请求属性的路由。
特定于路由的断言和过滤器。
集成Circuit Breaker。
集成Spring Cloud DiscoveryClient。
断言和过滤器易于编写。
请求速率限制。
路径重写。
二、安全漏洞
此次Spring Cloud Gateway爆出两个漏洞,分别是:CVE-2022-22947 和 CVE-2022-22946,CVE-2022-22947严重等级是Critical,需要尽快修复。
2.1 CVE-2022-22947 Spring Cloud Gateway Code Injection Vulnerability
漏洞概述
VMware 官方发布安全公告,其中包含 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway