【墨菲安全实验室】Spring Cloud Gateway代码注入漏洞分析(CVE-2022-22947)
漏洞简述3月1日,VMware发布了针对Spring Cloud Gateway的漏洞通告,当actuator端点开启并对外暴露时,攻击者可以构造恶意请求实现远程任意代码执行。Spring Cloud Gateway是Spring Cloud 生态中的API网关,包含限流、过滤等API治理功能。Actuator是Spring Boot生态中的应用监控组件,提供了通过http访问监控运行状态的能力。当actuator端点开启时,可以通过http请求修改路由,路由中包含的filter参数会经过SPE