近日据VMware的安全公告表明���,Spring Cloud Netflix中存在模板解析漏洞(CVE-2021-22053)��,建议及时修复�。
漏洞详情:
Spring Cloud Netflix是一套分布式服务框架的封装���,包括服务的发现和注册��,负载均衡���、断路器�、REST客户端����、请求路由等����。 同时使用“spring-cloud-netflix-hystrix-dashboard”和“spring-boot-start -thymeleaf”的应用程序暴露了一种在解析视图模板期间执行URI请求中提交的代码的方法。当在'/hystrix/monitor;[user-provided data]'发出请求时���,'hystrix/monitor'后面的路径元素将被作为SpringEL表达式计算�����,这可能导致代码执行����。
威胁等级:高危
受影响版本:
2.2.0.RELEASE<=Spring Cloud Netflix<=2.2.9.RELEASE
修复建议:
及时更新至安全版本���。
