預警！VMWARE Spring Cloud Netflix 模板解析漏洞

0x01 漏洞描述

Spring Cloud Netflix是一套分布式服務框架的封裝，包括服務的發現和注冊，負載均衡、斷路器、REST客戶端、請求路由等。 

2021年11月22日，360漏洞云團隊監測到VMware發布安全公告，修復了一個 Spring Cloud Netflix中的模板解析漏洞。漏洞編號：CVE-2021-22053，漏洞威脅等級：高危。

同時使用“spring-cloud-netflix-hystrix-dashboard”和“spring-boot-start -thymeleaf”的應用程序暴露了一種執行在視圖模板解析期間在請求URI路徑中提交的代碼的方法。當在' /hystrix/monitor;[user-provided data] '發出請求時，' hystrix/monitor '后面的路徑元素將被作為SpringEL表達式計算，這可能導致代碼執行。

0x02 危害等級

高危：7.6

0x03 影響版本

2.2.0.RELEASE<=Spring Cloud Netflix<=2.2.9.RELEASE

0x04 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本：

Spring Cloud Netflix 2.2.10.RELEASE+

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。