• Saltar a la navegación principal
  • Saltar al contenido principal
S2GRUPO

Empresa Española Especializada en Ciberseguridad

  • Empresa
    • Sobre nosotros
    • Equipo directivo
    • RSE
    • Reconocimientos
  • Especialización
    • OT Industrial
    • IT
    • OT Salud
  • Soluciones
  • I+D+i
    • I+D
    • S2X
  • Talento
  • Noticias y publicaciones
  • Contacto
  • facebook
  • twitter
  • instagram
  • linkedin
|
es arrow down
  • en
© 2025 S2 Grupo
Alertas

Vulnerabilidad de inyección de código en Spring Cloud Gateway (CVE-2022-22947)

El viernes 4 de marzo se confirmó una vulnerabilidad en arquitecturas basadas en Spring Cloud Gateway (un proyecto OpenSource que se encarga de proporcionar un punto de entrada a un ecosistema de microservicios, así como enrutamiento a las APIs, seguridad, monitorización y resiliencia) que permite a un atacante inyectar código remoto. [1]
04 Mar 2022

ANÁLISIS

Las aplicaciones que utilizan Spring Cloud Gateway son vulnerables a una inyección de código si el Endpoint Gateway Actuator se encuentra habilitado y expuesto. Un atacante sin autenticar podría realizar una solicitud maliciosa para poder ejecutar código arbitrario en el host y escalar privilegios.

Versiones afectadas:

  •     Spring Cloud Gateway == 3.1.0
  •     Spring Cloud Gateway >= 3.0.0 and <= 3.0.6
  •     Spring Cloud Gateway < 3.0.0 

A la vulnerabilidad se le ha asignado una puntuación CVSSv3 de 9.4, por lo que se considera crítica. [2]
Hay algunas pruebas de concepto que se pueden encontrar en los siguientes enlaces [3] y [4]

RECOMENDACIONES

La vulnerabilidad ha sido corregida en los parches Spring Cloud Gateway 3.1.1 y Spring Cloud Gateway 3.0.7, por lo que se recomienda actualizar a estas versiones. [5]

Así mismo, si no fuera necesario el Endpoint Gateway Actuator, se aconseja deshabilitarlo o securizarlo [6].

Hay muchas aplicaciones populares en el mercado que utilizan Spring Cloud Gateway, como es el caso de VMWare. Es recomendable revisar que aplicaciones hacen uso para confirmar si se es vulnerable.

REFERENCIAS

[1] https://tanzu.vmware.com/security/cve-2022-22947
[2] https://vuldb.com/es/?id.194181
[3] https://github.com/lucksec/Spring-Cloud-Gateway-CVE-2022-22947
[4] https://wya.pl/2022/02/26/cve-2022-22947-spel-casting-and-evil-beans/
[5] https://github.com/spring-cloud/spring-cloud-release/wiki/Spring-Cloud-2021.0-Release-Notes#202101
[6] https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

  • Facebook
  • Twitter
  • LinkedIn
Artículos relacionados
Vulnerabilidades en productos de Cisco 2025
Leer más →
Vulnerabilidades en SAP NetWeaver AS Java 2025
Leer más →
Vulnerabilidades en SureTriggers 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

S2GRUPO
© 2025 S2 Grupo
  • Central de prensa
  • Aviso legal
  • Política de Privacidad
  • Política de Cookies
  • Canal Ético