大家好,我是DD3月1日,Spring官博发布了一份关于SpringCloudGateway的CVE报告。它包含一个高危漏洞和一个中危漏洞。建议使用SpringCloudGateway的用户及时升级到3.1.1+、3.0.7+或使用其他缓解方式加强安全防护。相关人员可以看看下面这两个漏洞的具体内容和缓解方法。CVE-2022-22947:代码注入漏洞严重程度:严重漏洞描述:使用SpringCloudGateway的应用程序在启用、公开和不安全的执行器端点时容易受到代码注入。攻击者可以恶意制作允许在远程主机上任意远程执行的请求。影响范围:SpringCloudGateway以下版本受影响:3.1.03.0.0至3.0.6其他旧版本缓解方法:受影响版本的用户可以通过以下措施进行补救。3.1.x用户应该升级到3.1.1+3.0.x用户应该升级到3.0.7+如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置禁用如果需要Actuator端点,它应该使用SpringSecurity保护它CVE-2022-22946:HTTP2不安全的TrustManager严重性:中等漏洞描述:启用HTTP2且未设置密钥库或受信任的证书时,应用程序将配置为使用不安全的TrustManager。这使网关能够使用无效或自定义证书连接到远程服务。影响范围:影响SpringCloudGateway以下版本:3.1.0缓解方法:3.1.x用户升级到3.1.1+
