CVE-2020-5412

Versões 2.2.x do Spring Cloud Netflix anteriores à 2.2.4

Versões 2.1.x do Spring Cloud Netflix anteriores à 2.1.6

Versões antigas e sem suporte do Spring Cloud Netflix

A vulnerabilidade permite que aplicativos utilizem o endpoint proxy.stream do Hystrix Dashboard para enviar solicitações a qualquer servidor acessível pelo servidor que hospeda o painel. Um usuário mal-intencionado pode enviar uma solicitação a outros servidores que não deveriam estar expostos publicamente. O endpoint /proxy.stream pode ser explorado enviando-se uma solicitação com um parâmetro origin especialmente criado, como http://169.254.169.254/latest/metadata/.

Para as versões 2.2.x do Spring Cloud Netflix anteriores à 2.2.4, atualize para a versão 2.2.4 ou posterior.

Para versões 2.1.x do Spring Cloud Netflix anteriores à 2.1.6, atualize para a versão 2.1.6 ou posterior.

Para versões mais antigas e sem suporte do Spring Cloud Netflix, considere atualizar para uma versão com suporte e, em seguida, aplicar a atualização necessária.

Como solução alternativa temporária, considere restringir o acesso ao endpoint proxy.stream para minimizar o risco de exploração. Evite usar o parâmetro origin no endpoint da API afetado até que o problema seja resolvido.