描述

使用 Spring Cloud Gateway 并配置为启用 HTTP2 且未设置密钥库或受信任证书的应用程序将被配置为使用不安全的 TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。

受影响的 Spring 产品和版本

• Spring Cloud Gateway
  • 3.1.0

缓解措施

受影响版本的使用者应采取以下缓解措施。3.1.x 用户应升级到 3.1.1+。无需其他步骤。已修复此问题的版本包括

• Spring Cloud Gateway
  • 3.1.1+

致谢

此漏洞由巴黎银行的 Benjamin Bargeton 发现并负责任地报告。

参考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

历史

• 2022-03-01：发布初始漏洞报告。