预警!VMWARE Spring Cloud Netflix 模板解析漏洞

0x01 漏洞描述

Spring Cloud Netflix是一套分布式服务框架的封装,包括服务的发现和注册,负载均衡、断路器、REST客户端、请求路由等。 

2021年11月22日,360漏洞云团队监测到VMware发布安全公告,修复了一个 Spring Cloud Netflix中的模板解析漏洞。漏洞编号:CVE-2021-22053,漏洞威胁等级:高危。

同时使用“spring-cloud-netflix-hystrix-dashboard”和“spring-boot-start -thymeleaf”的应用程序暴露了一种执行在视图模板解析期间在请求URI路径中提交的代码的方法。当在' /hystrix/monitor;[user-provided data] '发出请求时,' hystrix/monitor '后面的路径元素将被作为SpringEL表达式计算,这可能导致代码执行。

0x02 危害等级

高危:7.6

0x03 影响版本

2.2.0.RELEASE<=Spring Cloud Netflix<=2.2.9.RELEASE

0x04 修复建议

厂商已发布升级修复漏洞,用户请尽快更新至安全版本:

Spring Cloud Netflix 2.2.10.RELEASE+

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。