Goby 漏洞安全通告|Spring Cloud Gateway 信息泄露漏洞(CVE-2025-41243)

漏洞名称:Spring Cloud Gateway 信息泄露漏洞(CVE-2025-41243)

风险等级:

高风险

漏洞描述:

Spring Cloud Gateway 是一个基于Spring框架的API网关组件。该漏洞源于对Spring环境属性修改的不当处理,当满足以下条件时,攻击者可利用该漏洞读取环境变量、数据库账户密码等敏感信息或是执行任意代码:应用程序使用Spring Cloud Gateway Server Webflux(4.3.0-4.3.x、4.2.0-4.2.x、4.1.0-4.1.x、4.0.0-4.0.x、3.1.0-3.1.x等版本)、依赖Spring Boot actuator、启用了gateway端点且端点未受保护。

FOFA自检语句:

((header="Server: Netty@SpringBoot" || (body="Whitelabel Error Page" && body="There was an unexpected error")) && body!="couchdb") || title="SpringBootAdmin-Server" || body="SpringBoot"

临时修复方案:

升级到4.3.1、4.2.5或4.1.11等修复版本;如无法升级,可移除gateway端点或确保端点安全

漏洞检测工具:

鉴于该漏洞影响范围较大,建议优先处置排查,Goby 实战化利用展示效果如视频演示如下:

查看Goby更多漏洞: Goby历史漏洞合集

相关推荐
cfm_29146 小时前
SpringBoot MockMvc
spring boot·后端·log4j
小李@Free2FA7 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
北极星日淘8 小时前
实时汇率结算系统开发|SpringBoot+Redis实现无差价跨境计费解决方案
spring boot·后端·bootstrap
云祺vinchin8 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung59 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
豆瓣鸡9 小时前
封装 API 请求日志切面——从注解定义到 Starter 自动装配
java·开发语言·spring boot
一楼的猫11 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学12 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Kyrie67812 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm
正儿八经的少年13 小时前
Spring Boot
java·spring boot·后端