Spring Cloud Gateway 远程代码执行漏洞复现 (CVE-2022-22947)
漏洞描述
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。
据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
环境搭建
1 | git pull // 更新vulhub |
影响版本
1 | Spring Cloud Gateway < 3.1.1 |
漏洞复现
github上的脚本
1 | import requests |
通过更改其中的’id’执行其他命令
我的个人博客
孤桜懶契:http://gylq.gitee.io