描述

Spring Cloud Netflix 的 2.2.x 版本（2.2.4 之前）、2.1.x 版本（2.1.6 之前）以及更早的不受支持的版本允许应用程序使用 Hystrix Dashboard 的 proxy.stream 端点向仪表板所在的服务器可达的任何服务器发出请求。恶意用户或攻击者可以发送请求到其他不应公开暴露的服务器。

受影响的 Spring 产品和版本

• Spring Cloud Netflix
  • 2.2.0 至 2.2.3
  • 2.1.0 至 2.1.5
  • 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施。无需其他缓解步骤。请注意，spring-cloud-netflix 中的 Hystrix Dashboard 仅应在内部网络中对需要它的客户端可用，并应使用 Spring Security 进行保护。这将漏洞的暴露限制在有内部网络访问权限的用户以及拥有适当身份验证的用户。

• Spring Cloud Netflix
  • 2.2.4
  • 2.1.6
  • 旧版本应升级到受支持的分支

致谢

此问题由 Vern（来自 PingAn Galaxy Lab 的 [email protected]）发现并负责任地报告。

参考资料

• https://docs.springjava.cn/spring-cloud-netflix/docs/2.2.x/reference/html/#circuit-breaker-hystrix-dashboard

历史

• 2020-08-04：发布初始漏洞报告。