烽火狼烟丨Spring Cloud Gateway远程代码执行漏洞风险提示

1、漏洞概述

近日，WebRAY安全服务产品线监测到VMware官网发布了一则漏洞编号为CVE-2022-22947的Spring Cloud Gateway远程代码执行漏洞通告。当Spring Cloud Gateway启用了暴露或不安全的Gateway Actuator端点时，网关本身容易受到代码注入攻击，远程攻击者通过发出带恶意请求的数据包，从而达到远程代码执行的目的。鉴于该漏洞危害较大，WebRAY安全服务产品线建议用户综合考虑自身业务情况并做好升级工作。

Spring Cloud Gateway用于在Spring WebFlux之上构建API网关，旨在提供一种简单而有效的方式来路由到API，并为它们提供横切关注点，例如：安全性、监控/指标和弹性。

WebRAY安全服务产品线将持续关注该漏洞进展，并将第一时间为您更新该漏洞信息。

2、影响范围

3、漏洞等级

WebRAY安全服务产品线风险评级：高危

4、修复建议

1、目前厂商已发布升级修复漏洞，请及时更新安全版本：

https://github.com/spring-cloud/spring-cloud-gateway

2、如果不需要网关执行器端点，可通过配置禁用即可。如果需要执行器，则应使用 Spring Security对其进行保护，参考链接如下：

https://docs.spring.io/spring-boot/docs/current/reference/html/

actuator.html#actuator.endpoints.security