Impatto Sistemico

Medio (60.76)

Sintesi

Aggiornamenti di sicurezza risolvono una vulnerabilità in Spring Cloud Gateway Server, gateway API del progetto Spring Cloud. Tale vulnerabilità riguarda l’inoltro degli header “X-Forwarded-For” e “Forwarded” che potrebbero essere manipolati da utenti malintenzionati per evadere i meccanismi di protezione del sistema target.

Tipologia

• Spoofing
• Security Restrictions Bypass

Prodotti e versioni affette

Spring Cloud Gateway Server

• 3.1.x, versioni precedenti alla 3.1.10
• 4.0.x, versioni precedenti alla 4.0.12
• 4.1.x, versioni precedenti alla 4.1.8
• 4.2.x, versioni precedenti alla 4.2.3
• versioni 4.3.0-M1/M2/RC1
• tutte le versioni precedenti non più supportate

Spring Cloud Gateway Server MVC

• 4.1.x, versione 4.1.7
• 4.2.x, versioni precedenti alla 4.2.3
• versioni 4.3.0-M1/M2/RC1
• tutte le versioni precedenti non più supportate

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.