领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22051:Spring Cloud Gateway 请求漏洞
描述
使用 Spring Cloud Gateway 的应用程序容易受到特别设计的请求攻击,这些请求可能会对下游服务发出额外的请求。
受影响的 Spring 产品和版本
- Spring Cloud Gateway
- 3.0.0 到 3.0.4
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 较旧的、不受支持的版本也受影响
缓解措施
受影响版本的用户应应用以下缓解措施:3.0.x 用户应升级到 3.0.5+,2.2.x 用户应升级到 2.2.10.RELEASE+。无需其他步骤。已修复此问题的版本包括
- Spring Cloud Gateway
- 3.0.5+
- 2.2.10.RELEASE+
鸣谢
此漏洞由 Backbase 安全团队的 Frederico Biehl 和 Maxim Tyukov 发现并负责任地报告。
参考
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L/E:F/RL:O/RC:C
历史
- 2021-11-04:首次发布漏洞报告。
报告漏洞
要报告 Spring 产品组合中某个项目的安全漏洞,请参阅安全策略