描述

使用类型级别@RequestMapping注解在 Feign 客户端接口上的应用程序，可能会无意中暴露与@RequestMapping注解的接口方法相对应的端点。尽管不会为此方式发送的请求返回响应，但它确实会到达相应的服务器端端点。

在文档中已不鼓励在 Feign 客户端接口上使用类型级别的@RequestMapping，但我们现在正采取措施完全拒绝它。

受影响的 Spring 产品和版本

• Spring Cloud OpenFeign
  • 3.0.0 至 3.0.4
  • 2.2.0.RELEASE 至 2.2.9.RELEASE
  • 较旧的、不受支持的版本也受影响

缓解措施

受影响版本的使用者应升级到以下版本之一。无需其他步骤。

• Spring Cloud OpenFeign
  • 3.0.5+
  • 2.2.10.RELEASE+

致谢

此漏洞是由 Spring 团队内部发现的。

参考

• https://docs.springframework.org.cn/spring-cloud-openfeign/docs/3.0.4/reference/html/#spring-cloud-feign-inheritance

历史

• 2021-10-27：受影响版本已更正。
  2021-10-26：发布初始漏洞报告。