# Spring-cloud-netflix-hystrix-dashboard中的Hystrix Dashboard Proxy漏洞
## 漏洞概述
Spring Cloud Netflix中的Hystrix Dashboard存在安全漏洞,允许应用程序通过proxy.stream端点向任何可访问的目标服务器发起请求。攻击者可以利用这一漏洞向不应公开暴露的服务器发起请求。
## 影响版本
- 版本2.2.x 低于2.2.4
- 版本2.1.x 低于2.1.6
- 以及其他更早未被支持的版本
## 细节
Hystrix Dashboard中的proxy.stream端点允许发起任意请求。未授权的用户或恶意攻击者可以利用该功能向其他不应公开访问的服务器发起请求,从而可能导致信息泄露或其他安全问题。
## 影响
此漏洞使得攻击者能够通过受感染的Hystrix Dashboard访问其他服务器资源,可能引发信息泄露或进一步的攻击。
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Spring Cloud Netflix 2.2.x prior to 2.2.4, 2.1.x prior to 2.1.6, and older unsupported versions are susceptible to server-side request forgery. Applications can use the Hystrix Dashboard proxy.stream endpoint to make requests to any server reachable by the server hosting the dashboard. An attacker can send a request to other servers and thus potentially access sensitive information, modify data, and/or execute unauthorized operations. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-5412.yaml | POC详情 |
暂无评论