领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2021-22053:Spring Cloud Netflix Hystrix Dashboard 模板解析漏洞
描述
同时使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用程序在视图模板解析期间暴露了一种执行在请求 URI 路径中提交的代码的方法。当请求发送到 /hystrix/monitor;[用户提供的数据] 时,hystrix/monitor 后面的路径元素被评估为 SpringEL 表达式,这可能导致代码执行。
受影响的 Spring 产品和版本
- Spring Cloud Netflix
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应采取以下缓解措施:用户应升级到 2.2.10.RELEASE+。无需其他步骤。已修复此问题的版本包括
- Spring Cloud Netflix
- 2.2.10.RELEASE+
致谢
此漏洞由 SecCoder 安全实验室的 threedr3am 识别并负责任地报告([email protected])。
参考资料
历史
- 2021-11-17:首次发布漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略