描述

Spring Cloud Netflix 的 2.2.x 版本（2.2.4 之前）、2.1.x 版本（2.1.6 之前）以及更早的不受支援的版本允許應用程式使用 Hystrix Dashboard 的 proxy.stream 端點向儀表板所在的伺服器可達的任何伺服器發出請求。惡意使用者或攻擊者可以傳送請求到其他不應公開暴露的伺服器。

受影響的 Spring 產品和版本

Spring Cloud Netflix
- 2.2.0 至 2.2.3
- 2.1.0 至 2.1.5
- 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施。無需其他緩解步驟。請注意，spring-cloud-netflix 中的 Hystrix Dashboard 僅應在內部網路中對需要它的客戶端可用，並應使用 Spring Security 進行保護。這將漏洞的暴露限制在有內部網路訪問許可權的使用者以及擁有適當身份驗證的使用者。