領先一步
VMware 提供訓練和認證,以加速您的進度。
瞭解更多Spring Security 安全性公告
CVE-2021-22051:Spring Cloud Gateway 請求漏洞
描述
使用 Spring Cloud Gateway 的應用程式容易受到精心設計的請求的攻擊,這些請求可能會對下游服務發出額外請求。
受影響的 Spring 產品和版本
- Spring Cloud Gateway
- 3.0.0 到 3.0.4
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 較舊且不受支援的版本也會受到影響
緩解措施
受影響版本的用戶應應用以下緩解措施:3.0.x 用戶應升級到 3.0.5+,2.2.x 用戶應升級到 2.2.10.RELEASE+。 不需要其他步驟。 已修復此問題的版本包括
- Spring Cloud Gateway
- 3.0.5+
- 2.2.10.RELEASE+
鳴謝
此漏洞由 Backbase 安全團隊的 Frederico Biehl 和 Maxim Tyukov 發現並負責任地報告。
參考資料
- https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L/E:F/RL:O/RC:C
歷史紀錄
- 2021-11-04:發布初始漏洞報告。
報告漏洞
若要報告 Spring 組合中的專案的安全性漏洞,請參閱安全性原則