领先一步
VMware提供培训和认证,以加快您的进度。
了解更多Spring安全公告
CVE-2021-22113:Spring Cloud Netflix Zuul“敏感标头”绕过漏洞
描述
使用Spring Cloud Netflix Zuul 2.2.6.RELEASE及以下版本的“敏感标头”功能的应用程序,在使用特殊构造的URL执行请求时,可能容易受到绕过“敏感标头”限制的攻击。使用Spring Security的StrictHttpFirewall(默认情况下对所有URL启用)的应用程序不会受到此漏洞的影响,因为它们会拒绝允许绕过的请求。
受影响的Spring产品和版本
- Spring Cloud Netflix Zuul
- 2.2.6及以下版本
缓解措施
用户应升级到2.2.7及更高版本。已修复此问题的版本包括:
- Spring Cloud Netflix Zuul
- 2.2.7
致谢
此问题由threedr3am (threedr3am at foxmail.com)发现并负责任地报告。
参考资料
历史记录
- 2021-02-11:发布初始漏洞报告。
报告漏洞
要报告Spring产品组合中某个项目的安全漏洞,请参阅安全策略