描述

Spring Cloud Netflix 的 2.2.x 版本（早於 2.2.4）、2.1.x 版本（早於 2.1.6）以及較舊的不受支援的版本允許應用程式使用 Hystrix Dashboard 的 proxy.stream 端點向託管儀表板的伺服器可訪問的任何伺服器發出請求。惡意使用者或攻擊者可以將請求傳送到不應公開的其他伺服器。

受影響的 Spring 產品和版本

Spring Cloud Netflix
- 2.2.0 到 2.2.3
- 2.1.0 到 2.1.5
- 較舊的不受支援的版本也受影響

緩解措施

受影響版本的使用者應應用以下緩解措施。沒有其他必要的緩解步驟。請注意，spring-cloud-netflix 中的 Hystrix Dashboard 應該僅在內部網路上對需要它的客戶端可用，並且應該使用 Spring Security 進行保護。這會將此漏洞的暴露限制為具有內部網路訪問許可權的使用者和具有適當身份驗證的使用者。