springboot actuator未授权访问漏洞

[zhangdaiscott]

版本号：3.0.0

前端版本：vue3版？还是 vue2版？

vue2版

问题描述：

springboot actuator未授权访问漏洞，该漏洞在jeecgboot上该如何处理呢？

截图&代码：

友情提示（为了提高issue处理效率）：

• 未按格式要求发帖，会被直接删掉;
• 描述过于简单或模糊，导致无法处理的，会被直接删掉；
• 请自己初判问题描述是否清楚，是否方便我们调查处理；
• 针对问题请说明是Online在线功能(需说明用的主题模板)，还是生成的代码功能；

[zhangdaiscott]

org\jeecg\config\shiro\ShiroConfig.java

注释掉即可

[yang105]

这个漏洞好像没有解决。我通过url 可以直接访问actuator的相关接口。 通过 POST actuator/gateway/routes/ 执行恶意代码，然后refresh，服务就报错了。