修复通知！Spring Cloud 爆高危漏洞

2022年3月1日，Spring官方博客发布了一则关于Spring Cloud Gateway的CVE报告，其中包含一个代码注入的高风险漏洞。

为了解决这些漏洞，版本3.0.7和3.1.1已经发布，Spring Cloud用户应及时将及时将版本升级到2021.0.1（包含3.1.1），或者如果你使用的是Spring Cloud 2020.0.x版本，可将Spring Cloud Gateway独立升级到3.0.7。

截自Spring官方博客

1、漏洞等级

Critical（严重）

2、漏洞描述（CVE-2022-22947）

使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。远程攻击者可以发出恶意的请求，从而在远程主机上执行任意的远程操作。

3、影响版本

Spring Cloud Gateway以下版本均受影响：

● 3.1.0● 3.0.0至3.0.6● 其他老版本

4、可通过以下几种方式进行修复

● 3.1.x用户应升级到3.1.1+● 3.0.x用户应升级到3.0.7+●如果不需要Actuator端点，可以通过management.endpoint.gateway.enabled：false配置将其禁用，如果需要Actuator端点，则应使用Spring Security对其进行保护，可参考以下网址：

https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

内容参考来源：Spring Cloud Gateway CVE reports published