严重 Spring Boot Actuator 未授权访问远程代码执行漏洞

CVE编号

N/A

利用情况

漏洞武器化

补丁情况

缓解措施

披露时间

2019-02-28

漏洞描述

2019年2月28日，阿里云云盾应急响应中心监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。 漏洞描述 Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。 漏洞评级 严重 影响版本 全版本且无安全配置

解决建议

禁用所有接口，将配置改成：endpoints.enabled = false或者引入spring-boot-starter-security依赖：org.springframework.bootspring-boot-starter-security开启security功能，配置访问权限验证，类似配置如下：management.port=8099management.security.enabled=truesecurity.user.name=xxxxxsecurity.user.password=xxxxxx

参考链接
https://help.aliyun.com/noticelist/articleid/1000109082.html

阿里云评分 9.9

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 漏洞武器化
• 补丁情况 缓解措施
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化

Exp相关链接

• https://www.veracode.com/blog/research/exploiting-spring-boot-actuators

- avd.aliyun.com