预警!VMWARE Spring Cloud Netflix 模板解析漏洞
2021-11-22 17:47:46
0x01 漏洞描述
Spring Cloud Netflix是一套分布式服务框架的封装,包括服务的发现和注册,负载均衡、断路器、REST客户端、请求路由等。
2021年11月22日,360漏洞云团队监测到VMware发布安全公告,修复了一个 Spring Cloud Netflix中的模板解析漏洞。漏洞编号:CVE-2021-22053,漏洞威胁等级:高危。
同时使用“spring-cloud-netflix-hystrix-dashboard”和“spring-boot-start -thymeleaf”的应用程序暴露了一种执行在视图模板解析期间在请求URI路径中提交的代码的方法。当在' /hystrix/monitor;[user-provided data] '发出请求时,' hystrix/monitor '后面的路径元素将被作为SpringEL表达式计算,这可能导致代码执行。
0x02 危害等级
高危:7.6
0x03 影响版本
2.2.0.RELEASE<=Spring Cloud Netflix<=2.2.9.RELEASE
0x04 修复建议
厂商已发布升级修复漏洞,用户请尽快更新至安全版本:
Spring Cloud Netflix 2.2.10.RELEASE+
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。