【高危】- Spring Boot Actuator H2 远程命令执行高危
■ 漏洞描述
Spring Boot框架是最流行的基于Java的微服务框架之一,可帮助开发人员快速轻松地部署Java应用程序。
Spring Boot 2.x的默认HikariCP数据库连接池和公共Java开发数据库H2数据库引擎共同使用存在远程命令执行。
■ 影响范围
Spring Boot 2.x
HikariCP
H2数据库
■ 漏洞检测
检测方法:查看是否Spring Boot、HikariCP和H2数据库共同使用。
■ 漏洞修复
禁止对外公开/actuator/env,禁止配置文件application.properties中出现如下配置:
management.endpoints.web.exposure.include=env
management.endpoints.web.exposure.include=*
■ 临时修复
1、限制外网访问/actuator/env。
■ 漏洞详情
https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database
Spring Boot框架是最流行的基于Java的微服务框架之一,可帮助开发人员快速轻松地部署Java应用程序。
Spring Boot 2.x的默认HikariCP数据库连接池和公共Java开发数据库H2数据库引擎共同使用存在远程命令执行。
■ 影响范围
Spring Boot 2.x
HikariCP
H2数据库
■ 漏洞检测
检测方法:查看是否Spring Boot、HikariCP和H2数据库共同使用。
■ 漏洞修复
禁止对外公开/actuator/env,禁止配置文件application.properties中出现如下配置:
management.endpoints.web.exposure.include=env
management.endpoints.web.exposure.include=*
■ 临时修复
1、限制外网访问/actuator/env。
■ 漏洞详情
https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database