描述

Spring Cloud Netflix 的 2.2.x 版本（早于 2.2.4）、2.1.x 版本（早于 2.1.6）以及较旧的不受支持的版本允许应用程序使用 Hystrix Dashboard 的 proxy.stream 端点向托管仪表板的服务器可访问的任何服务器发出请求。恶意用户或攻击者可以将请求发送到不应公开的其他服务器。

受影响的 Spring 产品和版本

• Spring Cloud Netflix
  • 2.2.0 到 2.2.3
  • 2.1.0 到 2.1.5
  • 较旧的不受支持的版本也受影响

缓解措施

受影响版本的用户应应用以下缓解措施。没有其他必要的缓解步骤。请注意，spring-cloud-netflix 中的 Hystrix Dashboard 应该仅在内部网络上对需要它的客户端可用，并且应该使用 Spring Security 进行保护。这会将此漏洞的暴露限制为具有内部网络访问权限的用户和具有适当身份验证的用户。

• Spring Cloud Netflix
  • 2.2.4
  • 2.1.6
  • 旧版本应升级到受支持的分支

致谢

此问题由 Vern（[email protected] 来自平安银河实验室）发现并负责任地报告。

参考

• https://docs.springframework.org.cn/spring-cloud-netflix/docs/2.2.x/reference/html/#circuit-breaker-hystrix-dashboard

历史

• 2020-08-04：发布初始漏洞报告。