Vulnérabilité sévère dans VMware Spring Cloud Gateway

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Spring Cloud Gateway versions 3.1.x antérieures à 3.1.1
  • Spring Cloud Gateway versions 3.0.x antérieures à 3.0.7

Résumé

Une vulnérabilité a été découverte dans VMware Spring Cloud Gateway. Elle permet à un attaquant de forger une requête malveillante spécialement conçue afin de provoquer une exécution de code arbitraire à distance.

Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway.

Des preuves de concept sont actuellement disponibles sur internet.

Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

Documentation

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.