近日,VMware 官方发布安全公告,其中包含 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口,则可能存在被 CVE-2022-22947 漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。
影响范围
Spring Cloud Gateway 3.1.x < 3.1.1 Spring Cloud Gateway 3.0.x < 3.0.7 其他旧的、不受支持的 Spring Cloud Gateway 版本
修复建议
- 更新升级 Spring Cloud Gateway 到以下安全版本:
3.1.x 用户需要更新到 3.1.1 3.0.x 需要更新到 3.0.7
- 或在不影响业务的情况下禁用 Actuator 接口:通过management.endpoint.gateway.enable:false配置将其禁用
- 如果需要Actuator端点,则应使用Spring Security对其进行保护
参考链接 https://tanzu.vmware.com/security/cve-2022-22947
