领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22113:Spring Cloud Netflix Zuul“敏感标头”绕过漏洞
描述
使用 Spring Cloud Netflix Zuul 2.2.6.RELEASE 及更低版本中的“敏感标头”功能的应用程序,在执行带有特殊构造 URL 的请求时,可能容易受到绕过“敏感标头”限制的影响。 使用 Spring Security 的 StrictHttpFirewall(默认情况下对所有 URL 启用)的应用程序不受此漏洞的影响,因为它们会拒绝允许绕过的请求。
受影响的 Spring 产品和版本
- Spring Cloud Netflix Zuul
- 2.2.6 及更低版本
缓解措施
用户应升级到 2.2.7 及更高版本。已修复此问题的版本包括
- Spring Cloud Netflix Zuul
- 2.2.7
鸣谢
此问题由 threedr3am (threedr3am at foxmail.com) 发现并负责任地报告。
参考
历史
- 2021-02-11:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中某个项目的安全漏洞,请参阅安全策略