VMWARE Spring Cloud Netflix 模板解析漏洞

 漏洞资讯     |      2021-11-23

一、   漏洞描述

攻击者可利用同时使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用程序公开在视图模板解析期间执行在请求 URI 路径中提交的代码问题,对 `/hystrix/monitor;[user-provided data]` 发出请求,使 `hystrix/monitor` 后面的路径元素被评估为 SpringEL 表达式,从而导致代码执行。

二、   漏洞详情

CVE-2021-22053  : VMWARE Spring Cloud Netflix 模板解析漏洞

CVE: CVE-2021-22053  

组件:  Spring Cloud Netflix

漏洞类型: 代码问题

影响: 可导致代码执行

简述: 见漏洞描述

三、   影响版本


影响产品或系统版本

安全版本

Spring Cloud Netflix

Spring Cloud Netflix >= 2.2.0.RELEASE

Spring Cloud Netflix <= 2.2.9.RELEASE

最新版本

四、   安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布升级,用户请尽快升级

   补丁信息:

补丁名称:VMWARE Spring Cloud Netflix 模板解析漏洞补丁

补丁链接:https://tanzu.vmware.com/security/cve-2021-22053