阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
N/A
AVD-2022-1039511
Spring Boot Actuator 敏感信息泄露漏洞
CVE编号
N/A
利用情况
暂无
补丁情况
N/A
披露时间
2022-02-17
漏洞描述
Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。
Actuator 是 Spring Boot 提供的服务监控和管理工具。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些敏感信息泄露。
解决建议
1.增加账号密码访问
在application.properties 中指定 actuator 的端口以及开启 security 功能,配置访问权限验证
2.禁用接口
配置单独的 Actuator 管理端口并不对外网开放。
参考链接
http://r3start.net/index.php/2019/01/20/377
https://xz.aliyun.com/t/2233
CVSS3评分
N/A
攻击路径
N/A
攻击复杂度
N/A
权限要求
N/A
影响范围
N/A
用户交互
N/A
可用性
N/A
保密性
N/A
完整性
N/A
CWE-ID
漏洞类型
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×