抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22053:Spring Cloud Netflix Hystrix Dashboard 模板解析漏洞
描述
同时使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用程序公开了一种在视图模板解析期间执行请求 URI 路径中提交的代码的方法。当在 /hystrix/monitor;[用户提供的数据] 处发出请求时,hystrix/monitor 之后的路径元素会被评估为 SpringEL 表达式,这可能导致代码执行。
受影响的 Spring 产品和版本
- Spring Cloud Netflix
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 较旧的不受支持的版本也受到影响
缓解措施
受影响版本的用户应应用以下缓解措施:用户应升级到 2.2.10.RELEASE+。 不需要其他步骤。 已修复此问题的版本包括
- Spring Cloud Netflix
- 2.2.10.RELEASE+
鸣谢
此漏洞由 SecCoder Security Lab 的 threedr3am 识别并负责任地报告 ([email protected])。
参考
历史
- 2021-11-17:首次发布漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略