一、背景介绍

近日，市委网信办技术支撑单位监测到VMware官方发布安全通告，披露了Spring Cloud Gateway存在代码注入漏洞，漏洞编号CVE-2022-22947。

1.1 漏洞描述

当启用和暴露不安全的 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击。远程攻击者可以发出恶意制作的请求，成功利用该漏洞可以导致代码执行。

1.2 漏洞编号

CVE-2022-22947

1.3 漏洞等级

高危

二、修复建议

2.1 受影响版本 

Spring Cloud Gateway < 3.1.1

Spring Cloud Gateway 3.0.0 -3.0.7

Spring Cloud Gateway 其他已不再更新的版本

2.2 修复建议

解决方案：升级到安全版本

安全版本：

Spring Cloud Gateway >= 3.1.1

Spring Cloud Gateway >= 3.0.7

2.3 临时缓解措施

如果不需要Gateway actuator endpoint，可以通过 management.endpoint.gateway.enabled: false 禁用它。如果需要actuator，可以使用 Spring Security 对其进行保护，请参阅https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security。

官方通告：https://tanzu.vmware.com/security/cve-2022-22947