Une importante vulnérabilité dans VMware Spring Cloud Gateway

Une importante vulnérabilité a été dévoilée dans VMware Spring Cloud Gateway. Le CERTA, chargé de la protection des réseaux de l’État contre les attaques en France, publie un bulletin à cette occasion.

L’annonce indique qu’une vulnérabilité a été découverte dans VMware Spring Cloud Gateway qui "permet à un attaquant de forger une requête malveillante spécialement conçue afin de provoquer une exécution de code arbitraire à distance". Sont concernées les versions suivantes :
 Spring Cloud Gateway versions 3.1.x antérieures à 3.1.1
 Spring Cloud Gateway versions 3.0.x antérieures à 3.0.7

"Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway", poursuit le CERTA.

Que faire ? La réponse de VMWare : "Les utilisateurs des versions concernées doivent appliquer les mesures correctives. Les utilisateurs de la version 3.1.x doivent effectuer une mise à niveau vers la version 3.1.1+. Les utilisateurs de la version 3.0.x doivent effectuer une mise à niveau vers la version 3.0.7+. Si le point de terminaison de l’actionneur Gateway n’est pas nécessaire, il doit être désactivé via management.endpoint.gateway.enabled : false. Si l’actionneur est nécessaire, il doit être sécurisé à l’aide de Spring Security".

 CVE-2022-22947 : Spring Cloud Gateway
 Spring Cloud sur Github