Spring Boot Actuator 敏感信息泄露漏洞
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2022-02-17漏洞描述
Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。 Actuator 是 Spring Boot 提供的服务监控和管理工具。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些敏感信息泄露。解决建议
1.增加账号密码访问在application.properties 中指定 actuator 的端口以及开启 security 功能,配置访问权限验证2.禁用接口配置单独的 Actuator 管理端口并不对外网开放。
参考链接 |
|
|---|---|
| http://r3start.net/index.php/2019/01/20/377 | |
| https://xz.aliyun.com/t/2233 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论