VMWARE Spring Cloud Netflix 模板解析漏洞

 漏洞資訊     |      2021-11-23

一、   漏洞描述

攻擊者可利用同時使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的應(yīng)用程序公開在視圖模板解析期間執(zhí)行在請求 URI 路徑中提交的代碼問題,對 `/hystrix/monitor;[user-provided data]` 發(fā)出請求,使 `hystrix/monitor` 后面的路徑元素被評估為 SpringEL 表達(dá)式,從而導(dǎo)致代碼執(zhí)行。

二、   漏洞詳情

CVE-2021-22053  : VMWARE Spring Cloud Netflix 模板解析漏洞

CVE: CVE-2021-22053  

組件:  Spring Cloud Netflix

漏洞類型: 代碼問題

影響: 可導(dǎo)致代碼執(zhí)行

簡述: 見漏洞描述

三、   影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

Spring Cloud Netflix

Spring Cloud Netflix >= 2.2.0.RELEASE

Spring Cloud Netflix <= 2.2.9.RELEASE

最新版本

四、   安全版本

見三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布升級,用戶請盡快升級

   補(bǔ)丁信息:

補(bǔ)丁名稱:VMWARE Spring Cloud Netflix 模板解析漏洞補(bǔ)丁

補(bǔ)丁鏈接:https://tanzu.vmware.com/security/cve-2021-22053