描述

同时使用spring-cloud-netflix-hystrix-dashboard和spring-boot-starter-thymeleaf的应用程序暴露出一种方法，可以在解析视图模板期间执行在请求URI路径中提交的代码。当在/hystrix/monitor;[用户提供的数据]处发出请求时，hystrix/monitor之后的路径元素将被评估为SpringEL表达式，这可能导致代码执行。

受影响的Spring产品和版本

• Spring Cloud Netflix
  • 2.2.0.RELEASE 至 2.2.9.RELEASE
  • 较旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应采取以下缓解措施：用户应升级到2.2.10.RELEASE+。无需其他步骤。已修复此问题的版本包括

• Spring Cloud Netflix
  • 2.2.10.RELEASE+

致谢

此漏洞由SecCoder安全实验室的threedr3am ([email protected]) 识别并负责任地报告。

参考资料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

历史记录

• 2021-11-17：发布初始漏洞报告。