近日，嘉诚安全监测到CNNVD官方发布了Spring Boot Admins 远程代码执行漏洞的风险通告，漏洞编号为：CNNVD-202212-2808(CVE-2022-46166)。

spring-boot-admin是一个开源的基于Spring boot+Mybatis的后台管理系统，具备用户管理，菜单管理和角色管理3个功能，权限控制到按钮层级。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快下载补丁进行更新，避免引发漏洞相关的网络安全事件。

该漏洞源于所有运行Spring Boot Admin Server、启用通知程序（例如 Teams-Notifier）并通过 UI 写入环境变量的用户都可能受到代码注入影响。

通用修复建议：

根据影响版本中的信息，厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/codecentric/spring-boot-admin/security/advisories/GHSA-w3x5-427h-wfq6