Spring Cloud Gateway RCE漏洞原理分析与复现（CVE-2022-22947）

Spring Cloud Gateway RCE（远程代码执行）漏洞是由于Spring Cloud Gateway在处理HTTP请求时未能正确处理由特制HTTP请求造成的。攻击者可以通过构造恶意的HTTP请求，利用此漏洞执行任意代码。

漏洞原理

Spring Cloud Gateway是一个基于Project Reactor的API网关，用于路由和过滤HTTP请求。在处理HTTP请求时，如果配置了Hystrix断路器，且没有正确地处理Spring.cloud.gateway.filter.remove-hystrix-headers配置项，攻击者可以通过修改HTTP请求头部，利用表达式注入执行任意代码。

漏洞影响

Spring Cloud Gateway 3.1.x及以前版本都受此漏洞影响。

复现步骤

1. 确保Spring Cloud Gateway的版本低于或等于3.1.x。
2. 修改应用配置，如下所示：

spring:
  cloud:
    gateway:
      routes:
      - id: vulnerable_route
        uri: https://example.com
        filters:
        - Hystrix=command
        - RemoveHystrixHeaders=true

3. 发送一个包含恶意表达式的HTTP请求，如下所示：

GET / HTTP/1.1
Host: your-gateway-host
Hystrix-Concurrency-Strategy: com.example.MyConcurrencyStrategy

4. 如果配置了Hystrix-Concurrency-Strategy头部，并且其值是一个表达式，攻击者可能会触发代码执行。

修复建议

1. 升级到安全版本：将Spring Cloud Gateway升级到3.1.x之后的版本。
2. 应用安全补丁：如果不能立即升级，请应用官方提供的安全补丁。
3. 审查配置：审查和更新Spring Cloud Gateway的配置，确保不会配置不安全的选项。

代码修复示例

spring:
  cloud:
    gateway:
      routes:
      - id: secure_route
        uri: https://example.com
        filters:
        - Hystrix=command
        - RemoveHystrixHeaders=true

在这个修复的配置中，RemoveHystrixHeaders被设置为true，这意味着Hystrix相关的头部信息不会被传递到下游服务。这是一个更为安全的配置，可以减少潜在的攻击面。