服务公告
Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947)
2022-03-03
一、概要
近日,华为云关注到VMware官方发布安全公告,披露Spring Cloud Gateway存在一处远程代码执行漏洞(CVE-2022-22947)。当Spring Cloud Gateway启用、暴露 和不安全Gateway Actuator 端点时,攻击者可以通过向使用 Spring Cloud Gateway 的应用程序发送特制的恶意请求,触发远程任意代码执行,利用难度低,目前POC已公开,风险较高。
Spring Cloud Gateway是基于Spring Framework 和 Spring Boot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。华为云提醒使用Spring Cloud Gateway的用户及时安排自检并做好安全加固。
参考链接:
CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability
CVE-2022-22947: SPEL CASTING AND EVIL BEANS
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
3.1.x系列:Spring Cloud Gateway < 3.1.1
3.0.x系列:Spring Cloud Gateway < 3.0.7
其他旧的、不受支持的Spring Cloud Gateway版本
安全版本:
Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7
四、漏洞处置
1、目前官方已发布修复版本修复了该漏洞,请受影响的用户升级到安全版本:
https://github.com/spring-cloud/spring-cloud-gateway/tags
2、无法及时升级的用户,可参考官方提供的修复建议进行缓解:
a. 如果不需要Gateway Actuator 端点,通过 management.endpoint.gateway.enabled: false 禁用它;
b. 如果需要Actuator,使用Spring Security 对其进行防护,具体可参考官方说明。
华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则。
华为云VSS具备对该漏洞的检测能力。华为云VSS用户可以检测业务网站是否存在该漏洞,具体方法参考VSS网站漏洞扫描。
注:修复漏洞前请将资料备份,并进行充分测试。