最新消息：Spring Cloud Gateway现高风险漏洞，建议采取措施加强防护

3月1日，Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。

其中包含一个高风险漏洞和一个中风险漏洞，建议有使用Spring Cloud Gateway的用户及时升级版本到3.1.1+、3.0.7+或采用其他缓解方法加强安全防护。

有涉及的小伙伴可以看看下面具体这两个漏洞的内容和缓解方法。

CVE-2022-22947：代码注入漏洞

严重性：Critical

漏洞描述：使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。

影响范围：

Spring Cloud Gateway以下版本均受影响：

• 3.1.0
• 3.0.0至3.0.6
• 其他老版本

缓解方法：

受影响版本的用户可以通过以下措施补救。

• 3.1.x用户应升级到3.1.1+
• 3.0.x用户应升级到3.0.7+
• 如果不需要Actuator端点，可以通过management.endpoint.gateway.enable：false配置将其禁用
• 如果需要Actuator端点，则应使用Spring Security对其进行保护

CVE-2022-22946：HTTP2 Insecure TrustManager

严重性：Medium

漏洞描述：当启用HTTP2，并且没有设置密钥存储或可信证书的应用程序将配置为使用不安全的TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。

影响范围：

Spring Cloud Gateway以下版本受影响：

• 3.1.0

缓解方法：

• 3.1.x用户升级到3.1.1+

我们创建了一个高质量的技术交流群，与优秀的人在一起，自己也会优秀起来，赶紧点击加群，享受一起成长的快乐。另外，如果你最近想跳槽的话，年前我花了2周时间收集了一波大厂面经，节后准备跳槽的可以点击这里领取！