Spring Cloud Gateway远程代码执行漏洞（CVE-2022-22947）

2022-03-03

一、概要

近日，华为云关注到VMware官方发布安全公告，披露Spring Cloud Gateway存在一处远程代码执行漏洞（CVE-2022-22947）。当Spring Cloud Gateway启用、暴露 和不安全Gateway Actuator 端点时，攻击者可以通过向使用 Spring Cloud Gateway 的应用程序发送特制的恶意请求，触发远程任意代码执行，利用难度低，目前POC已公开，风险较高。

Spring Cloud Gateway是基于Spring Framework 和 Spring Boot构建的API网关，它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。华为云提醒使用Spring Cloud Gateway的用户及时安排自检并做好安全加固。

参考链接：

CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability

CVE-2022-22947: SPEL CASTING AND EVIL BEANS

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

3.1.x系列：Spring Cloud Gateway < 3.1.1

3.0.x系列：Spring Cloud Gateway < 3.0.7

其他旧的、不受支持的Spring Cloud Gateway版本

安全版本：

Spring Cloud Gateway >= 3.1.1

Spring Cloud Gateway >= 3.0.7

四、漏洞处置

1、目前官方已发布修复版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/spring-cloud/spring-cloud-gateway/tags

2、无法及时升级的用户，可参考官方提供的修复建议进行缓解：

a. 如果不需要Gateway Actuator 端点，通过 management.endpoint.gateway.enabled: false 禁用它；

b. 如果需要Actuator，使用Spring Security 对其进行防护，具体可参考官方说明。

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

华为云VSS具备对该漏洞的检测能力。华为云VSS用户可以检测业务网站是否存在该漏洞，具体方法参考VSS网站漏洞扫描。

注：修复漏洞前请将资料备份，并进行充分测试。