描述

在 Feign 客戶端介面上使用型別級別的 @RequestMapping 註解的應用程式可能會無意中暴露與 @RequestMapping 註解的介面方法相對應的端點。 雖然以這種方式傳送的請求不會返回響應，但它確實會到達相應的伺服器端點。

我們不鼓勵在 Feign 客戶端介面上使用型別級別的 @RequestMapping 的做法，文件中也有說明，但我們現在正在採取措施完全拒絕它。

受影響的 Spring 產品和版本

• Spring Cloud OpenFeign
  • 3.0.0 到 3.0.4
  • 2.2.0.RELEASE 到 2.2.9.RELEASE
  • 較舊的、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應升級到以下版本之一。 無需其他步驟。

• Spring Cloud OpenFeign
  • 3.0.5+
  • 2.2.10.RELEASE+

鳴謝

此漏洞是在 Spring 團隊內部發現的。

參考

• https://docs.springframework.tw/spring-cloud-openfeign/docs/3.0.4/reference/html/#spring-cloud-feign-inheritance

歷史

• 2021-10-27：更正了受影響的版本。
  2021-10-26：釋出了初始漏洞報告。