CVE-2022-22947是一个严重的远程代码执行漏洞,影响广泛使用的Spring Cloud Gateway框架。该漏洞允许攻击者在受影响的系统上执行任意代码,可能导致数据泄露、系统破坏等严重后果。二、漏洞影响 影响范围:CVE-2022-22947漏洞影响所有使用Spring Cloud Gateway框架的版本,包括但不限于Spring Cloud Gateway 2.x系列。 潜在风...
2022年3月1日,VMware官方发布漏洞报告,在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时,会容易造成代码注入攻击,攻击者可以制造恶意请求,在远程主机进行任意远程执行。 漏洞影响范围 Spring Cloud Gateway 3.1.x < 3.1.1 Spring Cloud Gateway 3.0.x < 3.0.7 旧的、不受支持的版本也会受到影...
远程攻击者可以发出含有恶意代码的请求,从而允许在远程主机上任意远程执行。 0x02 漏洞影响 漏洞编号:CVE-2022-22947 影响版本: Spring Cloud Gateway < 3.1.1 Spring Cloud Gateway < 3.0.7 Spring Cloud Gateway 较低、不受支持的版本也会受到影响 风险等级:【高危】攻击者可利用该漏洞远程执行任意代码,目前已发...
2.Spring 配置对外暴露 gateway 接口,如 application.properties 配置为: # 默认为truemanagement.endpoint.gateway.enabled=true# 以逗号分隔的一系列值,默认为 health# 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway 漏洞复现 本次复现采用Vulfocus靶场环境,...
Spring Cloud Gateway 3.1.x < 3.1.1 Spring Cloud Gateway 3.0.x < 3.0.7 旧的、不受支持的版本也会受到影响 0x04 漏洞复现# 环境# 使用Vulfocus靶场镜像一键搭建 https://fofapro.github.io/vulfocus/#/ 复现# 1.打开漏洞环境 2.构造恶意请求路由testRoute ...
Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关,用于微服务架构中的API路由管理。CVE-2022-22947是一个远程代码执行漏洞,当攻击者能够访问Actuator API时,可以利用该漏洞执行任意命令。 2. 漏洞产生的原因 该漏洞的主要原因是Spring Cloud Gateway在处理Actuator API请求时,未对SpEL(Spring Expressi...
一:漏洞简介 Spring Cloud Gateway存在远程代码执行漏洞,该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可利用该漏洞通过恶意创建允许在远程主机上执行任意远程请求。 二:影响版本 Spring Cloud GateWay 3.1.0...
一、漏洞描述 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口,则可能存在被 CVE-2022-22947 漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。 二、影响版本 Spring Cloud Ga...
AI代码助手复制代码 5.修复方案 1)3.1.x用户应升级到3.1.1+; 2)3.0.x用户应升级到3.0.7+; 3)如果不需要Actuator功能,可以通过management.endpoint.gateway.enable:false配置将其禁用。 “Spring Cloud Gateway远程代码执行漏洞实例分析”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注...
漏洞成因: Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露Gateway Actuator端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。 影响的版本: 3.1.0 3.0.0至3.0.6 ...