Spring Boot 2中actuator和H2数据库别名暴露远程执行代码漏洞 — spaceraccoon.dev

20-01-16 banq
    

公开/actuator/env和/actuator/restart端点(这在开发环境中很常见),开发人员将其应用程序置于执行远程代码的风险中。当然,如果应用程序在本地运行,这将不是问题,但是可以想象,在原型设计期间粗心的开发人员将其放置在公共IP上并不是一件容易的事。

点击标题见本文详细分析,通过本文和相关文章进行讨论的一个共同主题是,开发人员可以轻松地在不知道的情况下在代码中引入严重漏洞。actuator和H2数据库是加速开发和原型制作的有用工具,但是默认情况下,执行器和H2数据库暴露给它们会创建一个远程执行代码漏洞。