Spring Cloud Gateway 是 Spring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。若攻击者可以访问到 Spring Cloud Gateway actuator 端点,则攻击者可获知 gateway 规则,同时可能创建相关路由,从而造成SSRF或者敏感信息漏洞,或者结合 CVE-2022-22947 造成远程代码执行。
1、设置 management.endpoint.gateway.enabled 为 false
2、为避免Spring Cloud Gateway spel 远程代码执行(CVE-2022-22947),可参考 https://avd.aliyun.com/detail?id=AVD-2022-22947