Vern

**Nome do software vulnerável e versões afetadas** Versões 2.2.x do Spring Cloud Netflix anteriores à 2.2.4 Versões 2.1.x do Spring Cloud Netflix anteriores à 2.1.6 Versões antigas e sem suporte do Spring Cloud Netflix **Descrição** A vulnerabilidade permite que aplicativos utilizem o endpoint `proxy.stream` do Hystrix Dashboard para enviar solicitações a qualquer servidor acessível pelo servidor que hospeda o painel. Um usuário mal-intencionado pode enviar uma solicitação a outros servidores que não deveriam estar expostos publicamente. O endpoint `/proxy.stream` pode ser explorado enviando-se uma solicitação com um parâmetro `origin` especialmente criado, como `http://169.254.169.254/latest/metadata/`. **Recomendações** Para as versões 2.2.x do Spring Cloud Netflix anteriores à 2.2.4, atualize para a versão 2.2.4 ou posterior. Para versões 2.1.x do Spring Cloud Netflix anteriores à 2.1.6, atualize para a versão 2.1.6 ou posterior. Para versões mais antigas e sem suporte do Spring Cloud Netflix, considere atualizar para uma versão com suporte e, em seguida, aplicar a atualização necessária. Como solução alternativa temporária, considere restringir o acesso ao endpoint `proxy.stream` para minimizar o risco de exploração. Evite usar o parâmetro `origin` no endpoint da API afetado até que o problema seja resolvido.