描述

使用 Spring Cloud Gateway 的应用程序，如果配置为启用 HTTP2 且未设置密钥库或受信任证书，将配置为使用不安全的 TrustManager。这使得网关能够连接到具有无效或自定义证书的远程服务。

受影响的 Spring 产品和版本

• Spring Cloud Gateway
  • 3.1.0

缓解措施

受影响版本的用户应采取以下缓解措施。3.1.x 用户应升级到 3.1.1+。无需其他步骤。已修复此问题的版本包括

• Spring Cloud Gateway
  • 3.1.1+

致谢

此漏洞由法国巴黎银行的 Benjamin Bargeton 发现并负责任地报告。

参考资料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

历史

• 2022-03-01: 初步漏洞报告发布。