Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01507

Опубликовано: 26 фев. 2022
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Критический

Описание

Уязвимость компонента Gateway Actuator библиотеки для создания API-шлюзов Spring Cloud Gateway связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально созданного запроса

Вендор

VMware Inc.

Наименование ПО

Spring Cloud Gateway

Версия ПО

до 3.1.0 включительно (Spring Cloud Gateway)
от 3.0.0 до 3.0.6 включительно (Spring Cloud Gateway)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tanzu.vmware.com/security/cve-2022-22947

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94461
Критический

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-22947

CVSS3: 10
nvd
почти 4 года назад

In spring cloud gateway versions prior to 3.1.1+ and 3.0.7+ , applications are vulnerable to a code injection attack when the Gateway Actuator endpoint is enabled, exposed and unsecured. A remote attacker could make a maliciously crafted request that could allow arbitrary remote execution on the remote host.

github логотип

GHSA-3gx9-37ww-9qw6

CVSS3: 10
github
почти 4 года назад

Spring Cloud Gateway vulnerable to Code Injection when Gateway Actuator endpoint enabled, exposed, unsecured

EPSS

Процентиль: 100%
0.94461
Критический

10 Critical

CVSS3

10 Critical

CVSS2