Spring Boot Actuator 敏感信息泄露漏洞

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2022-02-17
漏洞描述
Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。
Actuator 是 Spring Boot 提供的服务监控和管理工具。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些敏感信息泄露。
解决建议
1.增加账号密码访问
在application.properties 中指定 actuator 的端口以及开启 security 功能,配置访问权限验证
2.禁用接口
配置单独的 Actuator 管理端口并不对外网开放。
参考链接
http://r3start.net/index.php/2019/01/20/377
https://xz.aliyun.com/t/2233
CVSS3评分
N/A
  • 攻击路径
    N/A
  • 攻击复杂度
    N/A
  • 权限要求
    N/A
  • 影响范围
    N/A
  • 用户交互
    N/A
  • 可用性
    N/A
  • 保密性
    N/A
  • 完整性
    N/A
N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况