S11-1SpringActuarot-JolokiaRealm-RCE

漏洞描述：

Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时，它会自动将多个端点注册到路由进程中。当配置jolokia/list接口，且访问jolokia/list接口存在type=MBeanFactory和createJNDIRealm关键字时，存在Spring jolokia Realm JNDI远程代码执行漏洞。

影响版本：

• Spring Boot < 1.5 默认未授权访问所有端点
• Spring Boot >= 1.5 默认只允许访问/health和/info端点，但是此安全性通常被应用程序开发人员禁用

Spring Boot 1.x版本端点在根URL下注册。

Spring Boot 2.x版本端点移动到/actuator/路径。

网站图片:

网站图片文件是一个绿色的树叶

特有的报错信息。

存在/jolokia/list接口