تنبيه امني VMware Spring Cloud Gateway

محتويات التنبيه:

– جدول معلومات

– المخاطر

– الأنظمة المثأثرة

– ملخص حول الثغرة

– الحلول

– المصادر

• Exécution de code arbitraire à distance

• Spring Cloud Gateway versions 3.1.x antérieures à 3.1.1
• Spring Cloud Gateway versions 3.0.x antérieures à 3.0.7

Une vulnérabilité a été découverte dans VMware Spring Cloud Gateway. Elle permet à un attaquant de forger une requête malveillante spécialement conçue afin de provoquer une exécution de code arbitraire à distance.

Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway.

• Bulletin de sécurité VMware cve-2022-22947 du 01 mars 2022
  https://tanzu.vmware.com/security/cve-2022-22947
• Avis de sécurité CERTFR-2022-AVI-195
  https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-195/
• Référence CVE CVE-2022-22947
  https://www.cve.org/CVERecord?id=CVE-2022-22947