领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22044:Spring Cloud OpenFeign 客户端端点暴露
描述
在 Feign 客户端接口上使用类型级别的 @RequestMapping 注解的应用程序可能会无意中暴露与 @RequestMapping 注解的接口方法相对应的端点。 虽然以这种方式发送的请求不会返回响应,但它确实会到达相应的服务器端点。
我们不鼓励在 Feign 客户端接口上使用类型级别的 @RequestMapping 的做法,文档中也有说明,但我们现在正在采取措施完全拒绝它。
受影响的 Spring 产品和版本
- Spring Cloud OpenFeign
- 3.0.0 到 3.0.4
- 2.2.0.RELEASE 到 2.2.9.RELEASE
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到以下版本之一。 无需其他步骤。
- Spring Cloud OpenFeign
- 3.0.5+
- 2.2.10.RELEASE+
鸣谢
此漏洞是在 Spring 团队内部发现的。
参考
历史
- 2021-10-27:更正了受影响的版本。
2021-10-26:发布了初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略