領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2021-22053:Spring Cloud Netflix Hystrix Dashboard 模板解析漏洞
描述
同時使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的應用程式在檢視模板解析期間暴露了一種執行在請求 URI 路徑中提交的程式碼的方法。當請求傳送到 /hystrix/monitor;[使用者提供的資料] 時,hystrix/monitor 後面的路徑元素被評估為 SpringEL 表示式,這可能導致程式碼執行。
受影響的 Spring 產品和版本
- Spring Cloud Netflix
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施:使用者應升級到 2.2.10.RELEASE+。無需其他步驟。已修復此問題的版本包括
- Spring Cloud Netflix
- 2.2.10.RELEASE+
致謝
此漏洞由 SecCoder 安全實驗室的 threedr3am 識別並負責任地報告([email protected])。
參考資料
歷史
- 2021-11-17:首次釋出漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略