描述

使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的應用程式，公開了一種在解析檢視範本期間，執行於請求 URI 路徑中提交的程式碼的方式。 當在 /hystrix/monitor;[使用者提供的資料] 提出請求時，hystrix/monitor 後面的路徑元素會被評估為 SpringEL 表達式，這可能導致程式碼執行。

受影響的 Spring 產品和版本

• Spring Cloud Netflix
  • 2.2.0.RELEASE 至 2.2.9.RELEASE
  • 較舊且不受支援的版本也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施：用戶應升級至 2.2.10.RELEASE+。 無需其他步驟。 修復此問題的版本包括

• Spring Cloud Netflix
  • 2.2.10.RELEASE+

貢獻

此漏洞由 SecCoder Security Lab 的 threedr3am 識別並負責地報告 ([email protected])。

參考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

歷史

• 2021-11-17：發布初始漏洞報告。