領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2021-22051: Spring Cloud Gateway 請求漏洞
描述
使用 Spring Cloud Gateway 的應用程式容易受到專門構造的請求的影響,這些請求可能在下游服務上額外發出請求。
受影響的 Spring 產品和版本
- Spring Cloud Gateway
- 3.0.0 到 3.0.4
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應採用以下緩解措施:3.0.x 使用者應升級到 3.0.5+,2.2.x 使用者應升級到 2.2.10.RELEASE+。無需其他步驟。已修復此問題的版本包括:
- Spring Cloud Gateway
- 3.0.5+
- 2.2.10.RELEASE+
致謝
此漏洞由 Backbase 安全團隊的 Frederico Biehl 和 Maxim Tyukov 發現並負責任地報告。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L/E:F/RL:O/RC:C
歷史
- 2021-11-04: 初步漏洞報告發布。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略