CVE编号
N/A利用情况
漏洞武器化补丁情况
缓解措施披露时间
2019-02-28漏洞描述
2019年2月28日,阿里云云盾应急响应中心监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。漏洞描述
Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
漏洞评级
严重
影响版本
全版本且无安全配置
解决建议
禁用所有接口,将配置改成:endpoints.enabled = false
或者引入spring-boot-starter-security依赖:
org.springframework.boot
spring-boot-starter-security
开启security功能,配置访问权限验证,类似配置如下:
management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx
参考链接 |
|
|---|---|
| https://help.aliyun.com/noticelist/articleid/1000109082.html |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 漏洞武器化
- 补丁情况 缓解措施
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
还没有评论,来说两句吧...