Spring Cloud Gateway高风险漏洞,建议尽快升级

最新推荐文章于 2024-07-29 15:12:04 发布
最新推荐文章于 2024-07-29 15:12:04 发布
阅读量6.8k 收藏 2
点赞数 1
文章标签: 过滤器 java 安全 http spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixiqiuqiu/article/details/123288451
版权
本文介绍了Spring Cloud Gateway的两个关键安全漏洞:CVE-2022-22947(Critical)和CVE-2022-22946(Medium),详细说明了漏洞影响及修复方案。建议所有受影响版本的用户立即升级到3.1.1+和3.0.7+,或者禁用不受信任的Actuator端点并启用Spring Security保护。
摘要由CSDN通过智能技术生成

一、Spring Cloud Gateway 概述

Spring Cloud Gateway 是提供了一个用于在Spring Webflux之上构建API网关的库。Spring Cloud Gateway旨在提供一种简单而有效的方式来路由到API并为它们提供交叉关注点,例如:安全、监控和弹性。

Spring Cloud Gateway特性:

  • 基于Spring Framework 5、Project Reactor和Spring Boot 2.0。

  • 能够匹配任何请求属性的路由。

  • 特定于路由的断言和过滤器。

  • 集成Circuit Breaker。

  • 集成Spring Cloud DiscoveryClient。

  • 断言和过滤器易于编写。

  • 请求速率限制。

  • 路径重写。

二、安全漏洞

此次Spring Cloud Gateway爆出两个漏洞,分别是:CVE-2022-22947 和 CVE-2022-22946,CVE-2022-22947严重等级是Critical,需要尽快修复。

2.1 CVE-2022-22947 Spring Cloud Gateway Code Injection Vulnerability

漏洞概述

VMware 官方发布安全公告,其中包含 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway

最低0.47元/天 解锁文章
ixxqq
关注
Spring Cloud Gateway代码执行漏洞
qq_45455136的博客
03-13 4513
CVE-2022-22947基本介绍基本介绍Spring Cloud Gateway
Spring Cloud Gateway 突发高危漏洞,下一代云原生网关恰逢其时?
阿里巴巴云原生的博客
03-06 428
Log4j2 的漏洞刚告一段落,Spring 官方在 2022 年 3 月 1 日发布了 Spring Cloud Gateway 的两个 CVE 漏洞:分别为 CVE-2022-22946(严重性:Medium)与 CVE-2022-22947(代码注入漏洞,严重性:Critical)。
2024-HW最新漏洞整理及相应解决方案(一)
最新发布
m0_72210904的博客
07-29 1291
漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家。
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
xuexi056的博客
04-05 511
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947) 一、环境搭建 (1) 使用IDEA 创建本地Maven测试工程 (2)创建成功后如下图 (3)添加pom依赖 . Spring Boot 2.5.2 . Spring Cloud 2020.0.3 . Spring Cloud Gateway 为 3.0.3(漏洞版本) <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
嘟的博客
07-11 310
SpringCloud GatewaySpring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactxor 等技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。:受影响版本的用户需要应用以下修正。
SpringCloud Gateway 在不重启网关服务的前提下,实现添加服务路由零配置升级
04-30 2180
点击上方“猿芯”,选择“设为星标”后台回复"1024",有份惊喜送给面试的你本文将分四部分讲解:SpringCloud Gateway 实现动态路由必要性SpringCloud Gateway 动态路由源码解析SpringCloud Gateway 动态路由配置实现方式SpringCloud Gateway 动态路由配置注意的事项SpringCloud Gateway 实...
【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析(CVE-2022-22947)
murphysec的博客
03-03 4005
漏洞简述 3月1日,VMware发布了针对Spring Cloud Gateway漏洞通告,当actuator端点开启并对外暴露时,攻击者可以构造恶意请求实现远程任意代码执行。 Spring Cloud GatewaySpring Cloud 生态中的API网关,包含限流、过滤等API治理功能。Actuator是Spring Boot生态中的应用监控组件,提供了通过http访问监控运行状态的能力。 当actuator端点开启时,可以通过http请求修改路由,路由中包含的filter参数会经过SPE
微服务网关:Spring Cloud Zuul 升级 Spring Cloud Gateway 的核心要点
Howinfun的博客
10-04 2052
微服务网关:Spring Cloud Zuul 升级 Spring Cloud Gateway 的核心要点
Spring cloud Gateway版本升级踩坑总结
weixin_38839402的博客
02-12 5642
Spring cloud gateway版本升级,feign调用失败启动假死等一系列问题
最新消息:Spring Cloud Gateway高风险漏洞建议采取措施加强防护
热门推荐
程序猿DD
03-02 1万+
大家好,我是DD3月1日,Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。其中包含一个高风险漏洞和一个中风险漏洞建议有使用Spring Cloud...
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
web_15534274656的博客
09-11 740
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
springcloud gateway_关于Spring Cloud各种组件的停更/升级/替换
weixin_39923572的博客
11-26 833
上篇:https://zhuanlan.zhihu.com/p/170191926​zhuanlan.zhihu.com一、由停更引发的"升级惨案"1、停更不停用被动修复bugs不再接受合并请求不再发布新版本以前技术2、明细条目2020年springcloud新技术(1)服务注册中心Eureka(重度患者)ZookeeperConsulNacos(推荐)(2)服务调用Ribbon(轻度患者)Loa...
Spring Cloud Gateway中存在远程代码执行漏洞容易受到代码注入攻击
happy_a_bin的博客
04-20 746
一、漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。二、影响版本 Spring Cloud Gateway 3.1.0 Spring Cloud Gateway 3.0.0 - 3.0.6 Spring Cloud Gateway 其它不支持的、已不再更新的版本 三、处置措施 1、立刻升级至3.0.7以上(不含3.1.0)或3.1.1以上;
springcloud升级到3.1.1,springboot升级到2.6.6问题
qq_26974617的专栏
06-02 816
修复springcloud升级问题
Spring Cloud Gateway高风险漏洞建议采取措施加强防护
m0_60666841的博客
04-04 1033
一般像这样的大企业都有好几轮面试,所以自己一定要花点时间去收集整理一下公司的背景,公司的企业文化,俗话说「知己知彼百战不殆」,不要盲目的去面试,还有很多人关心怎么去跟HR谈薪资。这边给大家一个建议,如果你的理想薪资是30K,你完全可以跟HR谈33~35K,而不是一下子就把自己的底牌暴露了出来,不过肯定不能说的这么直接,比如原来你的公司是25K,你可以跟HR讲原来的薪资是多少,你们这边能给到我的是多少?你说我这边希望可以有一个20%涨薪。
SpringCloudGateway漏洞,快看看你的服务中招没?
Java笔记虾
03-13 1476
点击关注公众号,利用碎片时间学习同学们,最近相信大家都看到了SpringCloudGateway爆出相关漏洞的信息了,既然如此,你们还不抓紧修改自己的程序吗?即使你没涉及到此次的漏洞,我也...
从0到1带大家搭建spring cloud alibaba 微服务大型应用框架(六)(gateway篇)spring cloud gateway 远程漏洞原因升級到3.1.1完整配置
峡谷电光马仔的博客
03-09 1922
# 从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(六)(gateway篇)spring cloud gateway 远程漏洞原因升級到3.1.1完整配置 ## spring cloud gateway 远程漏洞问题 ## spring cloud gateway 升级到3.11spring cloud ,spring cloud alibaba,spring boot版本对应关系 ## 为什么只升级spring cloud gateway 服务而不升级全部服务?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值