描述

在 Spring Boot 版本 3.0.0 - 3.0.5、2.7.0 - 2.7.10、2.6.0 - 2.6.14、2.5.0 - 2.5.14 及更旧的不受支持的版本中，部署到 Cloud Foundry 的应用程序可能容易受到安全绕过的影响。

具体来说，当以下所有条件都为真时，应用程序易受攻击

• 您有可以处理匹配 /cloudfoundryapplication/** 的请求的代码。通常，如果存在匹配 /** 的 catch-all 请求映射，则会发生这种情况。
• 应用程序已部署到 Cloud Foundry。

注意：默认情况下，使用 Spring Cloud Config Server 的应用程序可以处理对 /cloudfoundryapplication/** 的请求，如果部署到 Cloud Foundry，则可能容易受到攻击。

如果以下任一条件为真，则应用程序不易受攻击

• 应用程序未部署到 Cloud Foundry
• 您已使用设置为 false 的 management.cloudfoundry.enabled 禁用了 Cloud Foundry Actuator 端点。
• 您的应用程序没有可以处理对 /cloudfoundryapplication/** 的请求的处理程序映射。

受影响的 Spring 产品和版本

Spring Boot

• 3.0.0 到 3.0.5
• 2.7.0 到 2.7.10
• 2.6.0 到 2.6.14
• 2.5.0 到 2.5.14
• 旧的、不受支持的版本也受影响

缓解措施

受影响版本的用户应应用以下缓解措施：3.0.x 用户应升级到 3.0.6+。2.7.x 用户应升级到 2.7.11+。2.6.x 用户应升级到 2.6.15+。2.5.x 用户应升级到 2.5.15+。旧的、不受支持的版本的用户应升级到 3.0.6+ 或 2.7.11+。

解决方法：通过将 management.cloudfoundry.enabled 设置为 false 来禁用 Cloud Foundry Actuator 端点。