描述

在 Spring Boot 版本 3.0.0 - 3.0.5、2.7.0 - 2.7.10、2.6.0 - 2.6.14、2.5.0 - 2.5.14 及更舊的不受支援的版本中，部署到 Cloud Foundry 的應用程式可能容易受到安全繞過的影響。

具體來說，當以下所有條件都為真時，應用程式易受攻擊

• 您有可以處理匹配 /cloudfoundryapplication/** 的請求的程式碼。通常，如果存在匹配 /** 的 catch-all 請求對映，則會發生這種情況。
• 應用程式已部署到 Cloud Foundry。

注意：預設情況下，使用 Spring Cloud Config Server 的應用程式可以處理對 /cloudfoundryapplication/** 的請求，如果部署到 Cloud Foundry，則可能容易受到攻擊。

如果以下任一條件為真，則應用程式不易受攻擊

• 應用程式未部署到 Cloud Foundry
• 您已使用設定為 false 的 management.cloudfoundry.enabled 停用了 Cloud Foundry Actuator 端點。
• 您的應用程式沒有可以處理對 /cloudfoundryapplication/** 的請求的處理程式對映。

受影響的 Spring 產品和版本

Spring Boot

• 3.0.0 到 3.0.5
• 2.7.0 到 2.7.10
• 2.6.0 到 2.6.14
• 2.5.0 到 2.5.14
• 舊的、不受支援的版本也受影響

緩解措施

受影響版本的使用者應應用以下緩解措施：3.0.x 使用者應升級到 3.0.6+。2.7.x 使用者應升級到 2.7.11+。2.6.x 使用者應升級到 2.6.15+。2.5.x 使用者應升級到 2.5.15+。舊的、不受支援的版本的使用者應升級到 3.0.6+ 或 2.7.11+。

解決方法：透過將 management.cloudfoundry.enabled 設定為 false 來停用 Cloud Foundry Actuator 端點。