PT-2021-14848 · Netflix+1 · Spring-Cloud-Netflix-Hystrix-Dashboard+1
Threedr3Am
·
Publicado
2021-11-19
·
Atualizado
2021-11-23
·
CVE-2021-22053
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do
spring-cloud-netflix-hystrix-dashboard (versões afetadas não especificadas)Descrição
O problema afeta aplicativos que utilizam tanto o
spring-cloud-netflix-hystrix-dashboard quanto o spring-boot-starter-thymeleaf. Ele expõe uma maneira de executar código enviado dentro do caminho URI da solicitação durante a resolução de modelos de visualização. Quando uma solicitação é feita em “/hystrix/monitor;[dados fornecidos pelo usuário]”, os elementos do caminho após hystrix/monitor são avaliados como expressões SpringEL, o que pode levar à execução de código.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spring-Boot-Starter-Thymeleaf
Spring-Cloud-Netflix-Hystrix-Dashboard