搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2021-22053:Spring Cloud Netflix Hystrix Dashboard 模板解析漏洞
描述
同時使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的應用程式公開了一種在檢視模板解析期間執行請求 URI 路徑中提交的程式碼的方法。當在 /hystrix/monitor;[使用者提供的資料] 處發出請求時,hystrix/monitor 之後的路徑元素會被評估為 SpringEL 表示式,這可能導致程式碼執行。
受影響的 Spring 產品和版本
- Spring Cloud Netflix
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 較舊的不受支援的版本也受到影響
緩解措施
受影響版本的使用者應應用以下緩解措施:使用者應升級到 2.2.10.RELEASE+。 不需要其他步驟。 已修復此問題的版本包括
- Spring Cloud Netflix
- 2.2.10.RELEASE+
鳴謝
此漏洞由 SecCoder Security Lab 的 threedr3am 識別並負責任地報告 ([email protected])。
參考
歷史
- 2021-11-17:首次釋出漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略