{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Spring Cloud Gateway versions 3.1.x ant\u00e9rieures \u00e0 3.1.1","product":{"name":"N/A","vendor":{"name":"Spring","scada":false}}},{"description":"Spring Cloud Gateway versions 3.0.x ant\u00e9rieures \u00e0 3.0.7","product":{"name":"N/A","vendor":{"name":"Spring","scada":false}}}],"affected_systems_content":null,"closed_at":"2022-10-07","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2022-22947","url":"https://www.cve.org/CVERecord?id=CVE-2022-22947"}],"links":[{"title":"Avis de s\u00e9curit\u00e9 CERTFR-2022-AVI-195","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-195/"}],"reference":"CERTFR-2022-ALE-002","revisions":[{"description":"Version initiale","revision_date":"2022-03-03T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2022-10-07T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring Cloud Gateway.\nElle permet \u00e0 un attaquant de forger une requ\u00eate malveillante\nsp\u00e9cialement con\u00e7ue afin de provoquer une ex\u00e9cution de code arbitraire \u00e0\ndistance.\n\nLes applications utilisant Spring Cloud Gateway sont vuln\u00e9rables \u00e0 une\nattaque par injection de code lorsque le point de terminaison\n(*endpoint*) Gateway Actuator est activ\u00e9, expos\u00e9 et non s\u00e9curis\u00e9. Il est\nd\u00e9fini par la route par d\u00e9faut */actuator/gateway.*\n\nDes preuves de concept sont actuellement disponibles sur internet.\n","title":"Vuln\u00e9rabilit\u00e9 dans VMware Spring Cloud Gateway","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 VMware cve-2022-22947 du 01 mars 2022","url":"https://tanzu.vmware.com/security/cve-2022-22947"}]}