文章总结: SpringCloudGatewayServerWebFlux存在高危代码执行漏洞CVE-2025-41243,攻击者可利用actuatorroutes修改环境变量实现远程代码执行,这是CVE-2022-22947的绕过。官方已发布安全更新,建议立即升级至最新版本;缓解措施包括禁用actuator访问或移除gateway配置以降低风险。披露于2025年9月16日,危害定级高危。 综合评分: 86 文章分类: 漏洞分析,威胁情报,漏洞预警
威胁情报 | Spring Cloud Gateway 代码执行漏洞
0xSecDebug
2025年11月25日 08:36 江苏
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具和内容均来自网络,仅做学习和记录使用,安全性自测,如有侵权请联系删除。
- CVE编号: CVE-2025-41243
- 危害定级: 高危
- 漏洞标签:
- 披露日期: 2025-09-16
- 推送原因: 漏洞创建
- 信息来源: https://avd.aliyun.com/detail?id=AVD-2025-41243
漏洞描述
Spring Cloud Gateway 是 Spring 生态的轻量级、高性能网关,替代 Netflix Zuul 2,用于统一路由、过滤、限流、鉴权等边缘服务处理。2025年9月,官方发布 CVE-2025-41243 Spring Cloud Gateway Server WebFlux 代码执行漏洞,当攻击者可接触到Spring Boot actuator routes 路由时,可构造恶意请求修改相关环境变量,造成远程代码执行。该漏洞为 CVE-2022-22947 绕过,官方已发布安全更新,建议升级至最新版本。
修复方案
- 修复方案:升级Spring Cloud Gateway 至安全版本
- 缓解方案:关闭 Spring Cloud Gateway路由,将 gateway值从 management.endpoints.web.exposure.include配置中删除,或者设置management.endpoint.gateway.enabled为 false,禁止外界直接访问 spring actuator routes
参考链接
- https://spring.io/security/cve-2025-41243
开源检索
暂未找到
查看原文:《威胁情报 | Spring Cloud Gateway 代码执行漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论