跳转至

Spring Cloud Netflix Hystrix Dashboard SSRF

漏洞信息:

Spring Cloud Netflix,2.2.4之前的2.2.x版本,2.1.6之前的2.1.x版本以及较旧的不受支持的版本允许应用程序使用Hystrix Dashboard proxy.stream端点向服务器托管可访问的任何服务器发出请求仪表板。恶意用户或攻击者可以将请求发送到不应公开公开的其他服务器。

影响范围:

Spring Cloud Netflix 2.2.0至2.2.3 2.1.0至2.1.5 较旧的不受支持的版本也会受到影响

漏洞复现:

poc:
/proxy.stream?origin=http://www.baidu.com 
​```

#### 修复方案:

官方已经进行安全升级,受影响用户请尽快升级到修复版本: Spring Cloud Netflix: 2.2.4 2.1.6 较旧的版本应升级到受支持的分支