描述

在 Spring Framework 6.0.0 - 6.0.13 版本中，用户可以提供特制的 HTTP 请求，这可能会导致拒绝服务 (DoS) 状况。

具体来说，当所有以下条件都为真时，应用程序容易受到攻击

• 应用程序使用 Spring MVC 或 Spring WebFlux
• io.micrometer:micrometer-core 在类路径上
• 在应用程序中配置了 ObservationRegistry 以记录观测结果

通常，Spring Boot 应用程序需要 org.springframework.boot:spring-boot-actuator 依赖项才能满足所有条件。

受影响的 Spring 产品和版本

Spring Framework

• 6.0.0 到 6.0.13

较旧版本不受影响。

缓解措施

受影响版本的用户应应用以下缓解措施。

• Spring Framework 6.0.x 用户应升级到 6.0.14。

无需其他步骤。

作为临时解决方法，Spring Boot 3.0.x 和 3.1.x 用户可以选择使用以下属性禁用 Web 框架观测：management.metrics.enable.http.server.requests=false

鸣谢

该问题由 James Yuzawa 发现并负责任地报告。

参考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L&version=3.1