Une importante vulnérabilité a été dévoilée dans VMware Spring Cloud Gateway. Le CERTA, chargé de la protection des réseaux de l’État contre les attaques en France, publie un bulletin à cette occasion.
L’annonce indique qu’une vulnérabilité a été découverte dans VMware Spring Cloud Gateway qui « permet à un attaquant de forger une requête malveillante spécialement conçue afin de provoquer une exécution de code arbitraire à distance« . Sont concernées les versions suivantes:
– Spring Cloud Gateway versions 3.1.x antérieures à 3.1.1
– Spring Cloud Gateway versions 3.0.x antérieures à 3.0.7
« Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway« , poursuit le CERTA.
Que faire? La réponse de VMWare: « Les utilisateurs des versions concernées doivent appliquer les mesures correctives. Les utilisateurs de la version 3.1.x doivent effectuer une mise à niveau vers la version 3.1.1+. Les utilisateurs de la version 3.0.x doivent effectuer une mise à niveau vers la version 3.0.7+. Si le point de terminaison de l’actionneur Gateway n’est pas nécessaire, il doit être désactivé via management.endpoint.gateway.enabled : false. Si l’actionneur est nécessaire, il doit être sécurisé à l’aide de Spring Security« .
– CVE-2022-22947: Spring Cloud Gateway
– Spring Cloud sur Github
