18066058025 025-85999293
【修复指南】Spring Cloud Gateway 远程命令执行漏洞
使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。
1、版本升级。针对 3.1.x 版本,建议升级至 3.1.1 及其以上版本。针对 3.0.x 版本,建议升级至 3.0.7 及其以上版本 。其余官方不再维护版本均建议升级至最新版本。
2、临时缓解措施(不推荐长期使用):
禁用功能。如无需使用Gateway Actuator功能,修改配置management.endpoint.gateway.enabled为 false,并重启服务使配置生效。
启用防护。Spring Security,详情参考 https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security 。
若您在修复过程中遇到任何困难或有其他相关疑问,可联系华籁云技术工程师获取支持。
关于我们:华籁云(www.hualaiyun.cn)隶属南京华籁云信息技术有限公司,是一家专注于网站及服务器综合业务提供商。服务包括:南京网站建设、南京域名注册、南京虚拟主机、南京服务器租用、南京服务器维护、南京网站维护,公司配有客服、技术、开发等部门,拥有数名安全专家,7*24为用户提供技术服务。
欢迎联系华籁云(HUALAIYUN)我们将竭诚为您服务!
接待地址:南京市文景路61号垠坤创芯汇(各区均有办公接待处) 贴心服务:一个电话免费预约来访或者上门洽谈
