预警！VMWARE Spring Cloud Netflix 模板解析漏洞

0x01 漏洞描述

Spring Cloud Netflix是一套分布式服务框架的封装，包括服务的发现和注册，负载均衡、断路器、REST客户端、请求路由等。 

2021年11月22日，360漏洞云团队监测到VMware发布安全公告，修复了一个 Spring Cloud Netflix中的模板解析漏洞。漏洞编号：CVE-2021-22053，漏洞威胁等级：高危。

同时使用“spring-cloud-netflix-hystrix-dashboard”和“spring-boot-start -thymeleaf”的应用程序暴露了一种执行在视图模板解析期间在请求URI路径中提交的代码的方法。当在' /hystrix/monitor;[user-provided data] '发出请求时，' hystrix/monitor '后面的路径元素将被作为SpringEL表达式计算，这可能导致代码执行。

0x02 危害等级

高危：7.6

0x03 影响版本

2.2.0.RELEASE<=Spring Cloud Netflix<=2.2.9.RELEASE

0x04 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本：

Spring Cloud Netflix 2.2.10.RELEASE+

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。