描述

Spring Cloud Netflix 的 2.2.x 版本 (早於 2.2.4)、2.1.x 版本 (早於 2.1.6) 以及較舊的不受支援版本允許應用程式使用 Hystrix Dashboard 的 proxy.stream 端點，對託管儀表板的伺服器可訪問的任何伺服器發出請求。惡意使用者或攻擊者可以向其他不應公開暴露的伺服器發送請求。

受影響的 Spring 產品與版本

• Spring Cloud Netflix
  • 2.2.0 至 2.2.3
  • 2.1.0 至 2.1.5
  • 較舊的不受支援版本也受到影響

緩解措施

受影響版本的用戶應應用以下緩解措施。沒有其他必要的緩解步驟。請注意，spring-cloud-netflix 中的 Hystrix Dashboard 應僅在內部網路對需要它的用戶端可用，並且應使用 Spring Security 保護。這將此漏洞的暴露限制在具有內部網路訪問權限以及具有適當身份驗證的使用者。

• Spring Cloud Netflix
  • 2.2.4
  • 2.1.6
  • 舊版本應升級到受支援的分支

致謝

此問題由 Vern（来自平安 Galaxy Lab 的 [email protected]）发现并负责任地报告。

參考文獻

• https://spring-docs.dev.org.tw/spring-cloud-netflix/docs/2.2.x/reference/html/#circuit-breaker-hystrix-dashboard

歷史記錄

• 2020-08-04：發布初始漏洞報告。