Spring Security 建议

CVE-2021-22051: Spring Cloud Gateway 请求漏洞

高 | 2021年11月4日 | CVE-2021-22051

描述

使用 Spring Cloud Gateway 的应用程序容易受到专门构造的请求的影响，这些请求可能在下游服务上额外发出请求。

受影响的 Spring 产品和版本

Spring Cloud Gateway
- 3.0.0 到 3.0.4
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应采用以下缓解措施：3.0.x 用户应升级到 3.0.5+，2.2.x 用户应升级到 2.2.10.RELEASE+。无需其他步骤。已修复此问题的版本包括：

Spring Cloud Gateway
- 3.0.5+
- 2.2.10.RELEASE+

致谢

此漏洞由 Backbase 安全团队的 Frederico Biehl 和 Maxim Tyukov 发现并负责任地报告。

参考资料

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L/E:F/RL:O/RC:C

历史

2021-11-04: 初步漏洞报告发布。

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞，请参阅安全策略

© . This site is unofficial and not affiliated with VMware.