漏洞名称:Spring Cloud Gateway 信息泄露漏洞(CVE-2025-41243)
风险等级:
高风险
漏洞描述:
Spring Cloud Gateway 是一个基于Spring框架的API网关组件。该漏洞源于对Spring环境属性修改的不当处理,当满足以下条件时,攻击者可利用该漏洞读取环境变量、数据库账户密码等敏感信息或是执行任意代码:应用程序使用Spring Cloud Gateway Server Webflux(4.3.0-4.3.x、4.2.0-4.2.x、4.1.0-4.1.x、4.0.0-4.0.x、3.1.0-3.1.x等版本)、依赖Spring Boot actuator、启用了gateway端点且端点未受保护。
FOFA自检语句:
((header="Server: Netty@SpringBoot" || (body="Whitelabel Error Page" && body="There was an unexpected error")) && body!="couchdb") || title="SpringBootAdmin-Server" || body="SpringBoot"
临时修复方案:
升级到4.3.1、4.2.5或4.1.11等修复版本;如无法升级,可移除gateway端点或确保端点安全
漏洞检测工具:
鉴于该漏洞影响范围较大,建议优先处置排查,Goby 实战化利用展示效果如视频演示如下:
查看Goby更多漏洞: Goby历史漏洞合集