【漏洞预警】Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）

X0_0X2022-03-03 22:15:12

2022年3月3日，雁行安全团队监测到 Spring 官方发布了 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947) 的风险通告，漏洞概况如下：

当攻击者可以访问到 Spring Cloud Gateway actuator 端点时，攻击者可构造恶意请求，创建新路由，同时利用路由的filter功能注入spel表达式，从而造成表达式注入执行任意代码。

漏洞影响范围

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway < 3.0.7

安全版本

Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7

修复建议

对于低于3.0.7和3.1.1的版本尽快升级至安全版本

修改spring配置，将management.endpoint.gateway.enabled设置为false，禁止外界访问Spring Cloud Gateway actuator端点

参考链接

https://tanzu.vmware.com/security/cve-2022-22947

https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-published

信息安全gateway

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

API应用安全性自检清单

2023-07-28 10:25:16

API采用率的大幅增长为攻击者提供了更多方法来破坏身份验证控制、泄露数据或执行破坏性行为。

深信服AC入围Gartner《2022年工作负载和网络安全技术成熟度曲线报告》

2022-08-10 18:30:11

近日，全球权威咨询机构Gartner发布了《2022年工作负载和网络安全技术成熟度曲线报告》（2022 Gartner® Hype Cycle™ for Workload and Network Security Report，以下简称：报告），深信服凭借全网行为管理AC，在安全网关（Secure Web Gateways，简称SWG）领域被列为代表性厂商。

BBA也无法幸免，这些汽车品牌曾被黑客攻击

2023-04-03 10:50:52

3月22日，世界黑客大赛（Pwn2Own）在温哥华拉开序幕。2023 Pwn2Own为期三天，主办方为本届比赛总计准备了108万美元奖金，来自全球各个国家和地区的安全专家大展神通，纷纷向知名品牌发起网络攻击。

17 个网络安全基本概念！

2023-01-11 11:08:21

企业机构能够通过全面的评估来定义风险，并通过安全控制措施来减轻风险。因此，保护网络上的资产而不是网络本身是一种有效的安全态势。零信任网络访问使资产对用户不可见并使用上下文配置文件方便对个别应用的访问。IPS功能通常包含在其他安全产品中，但也有独立的产品。由于云原生控制措施在加入IPS方面进展缓慢，IPS正在“东山再起”。防火墙即服务是一项与云端SWG密切相关的新技术。

这17个网络安全概念，做网络安全的你都知道吗？

2022-06-09 22:11:58

思杰获评Expert Insights网络安全“企业VPN”和“UEM”最佳奖项

2021-02-28 18:10:29

思杰系统有限公司（Citrix Systems, Inc.）近日宣布，公司被 Expert Insights（专家洞察）评为统一端点管理（UEM）和企业 VPN类别中的2021 年网络安全“最佳”（Best-Of）奖得主。

Cloudflare员工遭网络钓鱼攻击，导致系统账号被盗

2022-08-10 14:19:00

据外媒报道云服务提供商Cloudflare的一些员工遭到网络钓鱼短信攻击，导致系统账户凭证被盗，这手法和上周 Twilio批露的遭遇相似。事件详情据Cloudflare的说法，大约在 Twilio 遭到攻击的同时，具有非常相似特征的攻击也针对 Cloudflare 的员工。与Twilio不同的是，Cloudflare凭借有效的防御手段能够成功抵御网络钓鱼攻击，可见采取有效的安全防护措施是必要的。

X0_0X

暂无描述