Spring Cloud Gateway 远程命令执行漏洞

风险描述

使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。

漏洞详情：https://avd.aliyun.com/detail?id=AVD-2022-22947

修复建议

1、版本升级。针对 3.1.x 版本，建议升级至 3.1.1 及其以上版本。针对 3.0.x 版本，建议升级至 3.0.7 及其以上版本 。其余官方不再维护版本均建议升级至最新版本。

2、临时缓解措施（不推荐长期使用）：

• 禁用功能。如无需使用Gateway Actuator功能，修改配置management.endpoint.gateway.enabled为 false，并重启服务使配置生效。

• 启用防护。Spring Security，详情参考 https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security 。

3、修复验证。在完成配置修改后，前往安全管控-安全体检，重新检测漏洞，确认是否成功修复。

若您在修复过程中遇到任何困难或有其他相关疑问，可前往安全管控，在更多安全服务板块点击提交工单，联系技术工程师获取支持。