我与question中的问题相同,唯一的答案是将spring-boot版本升级到2.0.6。但是,我当前具有2.1.6.RELEASE版本,并且报告中仍然存在相同的漏洞。
您的扫描报告应对此问题进行摘要,解释和建议。 (以下一些链接可帮助您生成报告-Fortify file (.fpr file) to PDF convertion,How do I generate a report that has all the issues?)
简而言之,这个问题是因为默认情况下,SpringBoot Actuator公开了JMX管理端点。 JMX使用Java序列化来发送/接收消息,能够连接到Actuator JMX端点并对其进行身份验证的攻击者将能够发送恶意Java序列化有效负载,该负载可能在JMX端点反序列化后运行任意代码。
修复:可以通过添加以下属性来禁用SpringBoot Actuator JMX端点到application.properties文件:
endpoints.jmx.enabled=false
management.endpoints.jmx.exposure.exclude=*
注意:不建议使用endpoints.jmx.enabled = false
MicroFocus上也有很好的答案