Une importanate vulnérabilité dans VMware Spring Cloud Gateway

jeudi 24 mars 2022

Une importante vulnérabilité a été dévoilée dans VMware Spring Cloud Gateway. Le CERTA, chargé de la protection des réseaux de l’État contre les attaques en France, publie un bulletin à cette occasion.

L’ [1]annonce indique qu’une vulnérabilité a été découverte dans VMware Spring Cloud Gateway qui " permet à un attaquant de forger une requête malveillante spécialement conçue afin de provoquer une exécution de code arbitraire à distance ". Sont concernées les versions suivantes :

Spring Cloud Gateway versions 3.1.x antérieures à 3.1.1

Spring Cloud Gateway versions 3.0.x antérieures à 3.0.7

" Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway ", poursuit le CERTA.

Que faire ? La [2]réponse de VMWare : " Les utilisateurs des versions concernées doivent appliquer les mesures correctives. Les utilisateurs de la version 3.1.x doivent effectuer une mise à niveau vers la version 3.1.1+. Les utilisateurs de la version 3.0.x doivent effectuer une mise à niveau vers la version 3.0.7+. Si le point de terminaison de l’actionneur Gateway n’est pas nécessaire, il doit être désactivé via management.endpoint.gateway.enabled : false. Si l’actionneur est nécessaire, il doit être sécurisé à l’aide de [3]Spring Security ".

[4]CVE-2022-22947 : Spring Cloud Gateway

[5]Spring Cloud sur Github

[6]



[1] https://cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-002/

[2] https://tanzu.vmware.com/security/cve-2022-22947

[3] https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

[4] https://tanzu.vmware.com/security/cve-2022-22947

[5] https://github.com/spring-cloud/spring-cloud-gateway

[6] https://www.toolinux.com/?une-importanate-vulnerabilite-dans-vmware-spring-cloud-gateway#forum