描述

在使用路由功能时，Spring Cloud Function 版本 3.1.6、3.2.2 及更早的不受支持的版本中，用户可以提供特制的 SpEL 作为路由表达式，这可能导致远程代码执行并……

描述

在 Spring Framework 版本 5.3.0 - 5.3.16、5.2.0 - 5.2.19 及更早的不受支持的版本中，用户可以提供特制的 SpEL 表达式，这可能导致拒绝服务情况。

受影响的 Spring 产品和…

描述

使用 Spring Cloud Gateway 并配置为启用 HTTP2 且未设置密钥库或受信任证书的应用将配置为使用不安全的 TrustManager。这使得网关能够连接到无效的远程服务，并…

描述

当 Gateway Actuator 端点被启用、暴露且未受保护时，使用 Spring Cloud Gateway 的应用容易受到代码注入攻击。远程攻击者可以制造恶意请求，从而允许任意远程…

描述

在 Spring Framework 版本 5.3.0 - 5.3.13、5.2.0 - 5.2.18 及更早的不受支持的版本中，用户可以提供恶意输入来导致插入附加日志条目。这是 CVE-2021-22096 的后续，用于保护…

描述

Spring AMQP Message 对象的 toString() 方法将从消息体创建一个新的 String 对象，无论其大小如何。

这可能导致大消息体引起的 OOM 错误。

受影响的 Spring 产品和版本

• Spring AMQP
  • 2.2.0 - 2.2.19
  • 2.3.0 - 2.3.11

缓解措施

用户…

描述

同时使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用在视图模板解析期间暴露了一种执行在请求 URI 路径中提交的代码的方式。当对 /hystrix/monitor… 发出请求时…

描述

使用 Spring Cloud Gateway 的应用容易受到精心构造的请求攻击，这些请求可能对下游服务发出额外请求。

受影响的 Spring 产品和版本

• Spring Cloud Gateway
  • 3.0.0 至 3.0.4
  • 2.2.0.RELEASE 至 2.2.9.RELEASE
  • 更早的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施：3.0.x 用户应升级到 3.0.5+，2.2.x 用户应升级到 2.2.10.RELEASE+。无需采取其他步骤。已修复此问题的版本包括

• Spring Cloud Gateway
  • 3.0.5+
  • …

描述

在 Feign 客户端接口上使用类型级别 @RequestMapping 注解的应用，可能会无意中暴露对应于使用 @RequestMapping 注解的接口方法的端点。尽管对发送的请求没有返回响应，但…

描述

在 Spring Data REST 版本 3.4.0 - 3.4.13、3.5.0 - 3.5.5 及更早的不受支持的版本中，使用配置的基础 API 路径和控制器类型级别请求映射实现的自定义控制器所实现的 HTTP 资源，会在以下路径下额外暴露…