近日，Spring官方发布了关于Spring Cloud Gateway的CVE报告，其中包含Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）。

漏洞描述

Spring Cloud GateWay是Spring Cloud的⼀个全新项⽬，⽬标是取代Netflix Zuul，它基于Spring5.0+SpringBoot2.0+WebFlux（基于⾼性能的Reactor模式响应式通信框架Netty，异步⾮阻塞模型）等技术开发，性能⾼于Zuul，官⽅测试，GateWay是Zuul的1.6倍，旨在为微服务架构提供⼀种简单有效的统⼀的API路由管理⽅式。

Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）发生在Spring Cloud Gateway应用程序的Actuator端点，其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求。

该漏洞CVSS评分：9.8，危害等级：严重

CVE 编号

CVE-2022-22947

漏洞复现

白帽汇安全研究院已通过漏洞复现确认漏洞存在。

FOFA 查询

app="vmware-SpringBoot-framework"

影响范围

影响范围：

3.1.0
3.0.0至3.0.6
3.0.0之前的版本

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="vmware-SpringBoot-framework"）共有 1,106,595 个相关服务对外开放。中国使用数量最多，共有 513,580 个；美国第二，共有 298,187 个；德国第三，共有 40,744 个；新加坡第四，共有 31,380 个；韩国第五，共有 29,936 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 73,842 个；浙江第二，共有 62,239 个；广东第三，共有 51,794 个；上海第四，共有 45,121 个；山东第五，共有 14,285 个。

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Spring Cloud Gateway 环境，可通过以下链接启动环境测试：

http://vulfocus.io/#/dashboard?image_id=711335fd-33d8-4a68-b5aa-235d30ded5e2

也可通过 vulfocus/spring_cve_2022_22947:latest 拉取本地环境运行。

修复建议

1. 3.1.x用户应升级到3.1.1+
2. 3.0.x用户应升级到3.0.7+
3. 如果不需要Actuator端点，可以通过management.endpoint.gateway.enable：false配置将其禁用
4. 如果需要Actuator端点，则应使用Spring Security对其进行保护

参考

[1] https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-published

[2] https://www.163.com/dy/article/H1FI6EKA05521T2V.html

白帽汇安全研究院从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。