描述

在 Spring Boot 2.7.0 - 2.7.17、3.0.0-3.0.12 和 3.1.0-3.1.5 版本中，用户可能提供特制 HTTP 请求，从而导致拒绝服务 (DoS) 情况。

具体来说，当以下所有条件都为真时，应用程序容易受到攻击

• 应用程序使用 Spring MVC 或 Spring WebFlux
• org.springframework.boot:spring-boot-actuator 位于类路径中

受影响的 Spring 产品和版本

Spring Boot

• 2.7.0 至 2.7.17
• 3.0.0 至 3.0.12
• 3.1.0 至 3.1.5

以及更旧的未受支持版本。

Spring Boot 3.x 版本也受 CVE-2023-34053 的影响，这是一个 Spring Framework 中类似的问题。Spring Boot 3.0.13 和 3.1.6 版本将 Spring Framework 升级到相关版本。

缓解措施

受影响版本的使用者应应用以下缓解措施。

• 2.7.x 之前的用户应升级到 2.7.18。
• Spring Boot 2.7.x 用户应升级到 2.7.18。
• Spring Boot 3.0.x 用户应升级到 3.0.13。
• Spring Boot 3.1.x 用户应升级到 3.1.6。

无需执行其他步骤。

作为临时解决方法，Spring Boot 用户可以选择使用以下属性禁用 Web 指标：management.metrics.enable.http.server.requests=false

鸣谢

该问题由 James Yuzawa 发现并负责任地报告。

参考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L&version=3.1