spring actuator未授权 高危漏洞

Blade 已结 1 498
jiashaCocoa
jiashaCocoa 剑者 2023-09-11 11:25
悬赏:10

一、该问题的重现步骤是什么?

1. 

1.1 业务分析平台

1.1.1 事件类型

spring actuator未授权

1.1.2 风险等级

高危

1.1.3 漏洞危害

可获取后端配置信息,通过heapdump获取内存信息

1.1.4 漏洞URL/路径地址

http://127.0.0.1:8888/actuator

1.1.5 漏洞验证

此处heapdump疑似配置出现问题,无法使用常规工具进行分析

image.png

1.1.6 修复建议

配置后端移除springboot actuator相关依赖


二、你期待的结果是什么?实际看到的又是什么?


这是漏洞检测的漏洞,但是这块注释掉以后会影响很多。


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

我正在用的产品是blade-x和blade-tools的企业版

版本是3.0.1.RELEASE

操作系统为centos7.4


四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
提交回复