关键漏洞信息 漏洞标识 CVE编号: CVE-2022-22947 描述 漏洞描述: 在Spring Cloud Gateway版本3.1.1及之前和3.0.7及之前的版本中,当Gateway Actuator端点启用、暴露且未受保护时,应用程序容易受到代码注入攻击。远程攻击者可以通过精心制作的请求利用该漏洞在远程主机上执行任意代码。 严重性评分 CVSS v3.1 Base Score: 10.0 (CRITICAL) CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 影响范围 受影响软件配置: - 版本 <= 3.0.7 - 多个与 相关的组件和版本 补救措施 CISA Known Exploited Vulnerabilities Catalog: - Vulnerability Name: VMware Spring Cloud Gateway Code Injection - Date Added: 05/16/2022 - Due Date: 06/06/2022 - Required Action: Apply updates per vendor instructions. 弱点枚举 CWE-501: 不正确地验证表达式语言语句中使用的特殊元素 CWE-94: 代码生成控制不当(代码注入) 参考资料 提供了多个第三方顾问、补丁和解决方案的链接。