Spring Boot Metrics Actuator 信息泄露漏洞

漏洞信息

漏洞名称: Spring Boot Metrics Actuator 信息泄露漏洞

漏洞类型: 信息泄露

漏洞等级: 低危

漏洞描述: Spring Boot是一个广泛使用的Java框架,用于创建独立的、生产级的基于Spring的应用程序。它简化了Spring应用的初始搭建和开发过程,通过自动配置和约定优于配置的原则,使得开发者可以快速启动和运行项目。Spring Boot Actuator是Spring Boot的一个子项目,它为应用提供了生产就绪的功能,帮助开发者监控和管理应用。

该漏洞涉及Spring Boot Metrics Actuator端点的信息泄露问题。由于配置不当,攻击者可以通过访问特定的端点(如/metrics/actuator/metrics)获取系统的敏感信息,包括内存使用情况、堆信息、非堆信息、线程状态以及垃圾回收等指标。这些信息可能被用于进一步的攻击,如系统状态的侦察或针对性的攻击。

漏洞的技术根源在于Spring Boot Actuator端点的默认配置可能过于宽松,没有适当的访问控制或认证机制,导致未授权的用户可以访问这些敏感信息。虽然这些信息本身不直接导致代码执行或系统控制权的获取,但泄露的系统内部状态和性能指标可能为攻击者提供有价值的情报,增加系统面临的风险。因此,建议开发者对这些端点实施适当的访问控制,或在不必要时禁用它们,以减少潜在的安全威胁。

产品厂商: Spring

产品名称: Spring Boot

来源: https://github.com/projectdiscovery/nuclei-templates/blob/78a258ba78fd91d980b8679156f97833ce5042e2/http%2Fmisconfiguration%2Fspringboot%2Fspringboot-metrics.yaml

类型: projectdiscovery/nuclei-templates:github issues

POC详情

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

id: springboot-metrics

info:
  name: Detect Springboot metrics Actuator
  author: pussycat0x,TheZakMan
  severity: low
  description: |
    Spring Boot Metrics Actuator endpoint was detected, which may expose system metrics information.
    This template detects both older Spring Boot 1.x format and newer 2.x/3.x format.
  metadata:
    max-request: 2
  tags: springboot,exposure,misconfig

http:
  - method: GET
    path:
      - "{{BaseURL}}/metrics"
      - "{{BaseURL}}/actuator/metrics"

    stop-at-first-match: true

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200

      - type: dsl
        dsl:
          - "contains(tolower(content_type), 'application/json') || contains(tolower(content_type), 'application/vnd.spring-boot')"

      - type: word
        condition: or
        part: body
        words:
          # Spring Boot 1.x format indicators
          - '{"mem":'
          - '{"heap":'
          - '{"nonheap":'
          - '{"threads":'
          - '{"gc":'

          # Spring Boot 2.x/3.x format indicators
          - '{"names":['
          - '"jvm.memory'
          - '"process.cpu'


Github Poc
#projectdiscovery/nuclei-templates:github issues #信息泄露
Spring Boot Metrics Actuator 信息泄露漏洞
http://example.com/2025/07/26/github_2965112704/
作者
lianccc
发布于
2025年7月26日
许可协议