领先一步
VMware提供培训和认证,以加速您的进步。
了解更多Spring安全公告
CVE-2021-22051:Spring Cloud Gateway 请求漏洞
描述
使用Spring Cloud Gateway的应用程序容易受到专门设计的请求的攻击,这些请求可能会对下游服务发出额外的请求。
受影响的Spring产品和版本
- Spring Cloud Gateway
- 3.0.0 到 3.0.4
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 较旧的、不受支持的版本也受影响
缓解措施
受影响版本的使用者应应用以下缓解措施:3.0.x 用户应升级到 3.0.5+,2.2.x 用户应升级到 2.2.10.RELEASE+。无需其他步骤。已修复此问题的版本包括:
- Spring Cloud Gateway
- 3.0.5+
- 2.2.10.RELEASE+
致谢
此漏洞由来自 Backbase 安全团队的 Frederico Biehl 和 Maxim Tyukov 发现并负责报告。
参考文献
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L/E:F/RL:O/RC:C
历史记录
- 2021-11-04:发布初始漏洞报告。
报告漏洞
要报告Spring产品组合中项目的安全漏洞,请参阅安全策略