創作中心

【漏洞預警】Spring Cloud Gateway 遠程代碼執行漏洞（CVE-2022-22947）

X0_0X2022-03-03 22:15:12

2022年3月3日，雁行安全團隊監測到 Spring 官方發布了 Spring Cloud Gateway 遠程代碼執行漏洞(CVE-2022-22947) 的風險通告，漏洞概況如下：

當攻擊者可以訪問到 Spring Cloud Gateway actuator 端點時，攻擊者可構造惡意請求，創建新路由，同時利用路由的filter功能注入spel表達式，從而造成表達式注入執行任意代碼。

漏洞影響范圍

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway < 3.0.7

安全版本

Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7

修復建議

對于低于3.0.7和3.1.1的版本盡快升級至安全版本

修改spring配置，將management.endpoint.gateway.enabled設置為false，禁止外界訪問Spring Cloud Gateway actuator端點

參考鏈接

https://tanzu.vmware.com/security/cve-2022-22947

https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-published

信息安全gateway

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

API應用安全性自檢清單

2023-07-28 10:25:16

API采用率的大幅增長為攻擊者提供了更多方法來破壞身份驗證控制、泄露數據或執行破壞性行為。

深信服AC入圍Gartner《2022年工作負載和網絡安全技術成熟度曲線報告》

2022-08-10 18:30:11

近日，全球權威咨詢機構Gartner發布了《2022年工作負載和網絡安全技術成熟度曲線報告》（2022 Gartner? Hype Cycle? for Workload and Network Security Report，以下簡稱：報告），深信服憑借全網行為管理AC，在安全網關（Secure Web Gateways，簡稱SWG）領域被列為代表性廠商。

BBA也無法幸免，這些汽車品牌曾被黑客攻擊

2023-04-03 10:50:52

3月22日，世界黑客大賽（Pwn2Own）在溫哥華拉開序幕。2023 Pwn2Own為期三天，主辦方為本屆比賽總計準備了108萬美元獎金，來自全球各個國家和地區的安全專家大展神通，紛紛向知名品牌發起網絡攻擊。

17 個網絡安全基本概念！

2023-01-11 11:08:21

企業機構能夠通過全面的評估來定義風險，并通過安全控制措施來減輕風險。因此，保護網絡上的資產而不是網絡本身是一種有效的安全態勢。零信任網絡訪問使資產對用戶不可見并使用上下文配置文件方便對個別應用的訪問。IPS功能通常包含在其他安全產品中，但也有獨立的產品。由于云原生控制措施在加入IPS方面進展緩慢，IPS正在“東山再起”。防火墻即服務是一項與云端SWG密切相關的新技術。

這17個網絡安全概念，做網絡安全的你都知道嗎？

2022-06-09 22:11:58

思杰獲評Expert Insights網絡安全“企業VPN”和“UEM”最佳獎項

2021-02-28 18:10:29

思杰系統有限公司（Citrix Systems, Inc.）近日宣布，公司被 Expert Insights（專家洞察）評為統一端點管理（UEM）和企業 VPN類別中的2021 年網絡安全“最佳”（Best-Of）獎得主。

Cloudflare員工遭網絡釣魚攻擊，導致系統賬號被盜

2022-08-10 14:19:00

據外媒報道云服務提供商Cloudflare的一些員工遭到網絡釣魚短信攻擊，導致系統賬戶憑證被盜，這手法和上周 Twilio批露的遭遇相似。事件詳情據Cloudflare的說法，大約在 Twilio 遭到攻擊的同時，具有非常相似特征的攻擊也針對 Cloudflare 的員工。與Twilio不同的是，Cloudflare憑借有效的防御手段能夠成功抵御網絡釣魚攻擊，可見采取有效的安全防護措施是必要的。

X0_0X

暫無描述

亚洲欧美自拍唯美另类