领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2021-22113: Spring Cloud Netflix Zuul “敏感请求头”绕过漏洞
描述
使用Spring Cloud Netflix Zuul 2.2.6.RELEASE及更低版本中“敏感请求头”功能的应用程序,在执行具有特殊构造URL的请求时,可能容易绕过“敏感请求头”限制。使用Spring Security的StrictHttpFirewall(默认情况下对所有URL启用)的应用程序不受此漏洞影响,因为它们会拒绝允许绕过的请求。
受影响的 Spring 产品和版本
- Spring Cloud Netflix Zuul
- 2.2.6 及更低版本
缓解措施
用户应升级到 2.2.7 及更高版本。已修复此问题的版本包括
- Spring Cloud Netflix Zuul
- 2.2.7
致谢
此问题由 threedr3am (threedr3am at foxmail.com) 发现并负责任地报告。
参考资料
历史
- 2021-02-11: 初始漏洞报告发布。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略