描述

在 Spring Cloud Contract 中，4.1.x 版本早於 4.1.1，4.0.x 版本早於 4.0.5，3.1.x 版本早於 3.1.10，測試執行容易受到本地資訊洩露的影響，原因是透過 org.springframework.cloud:spring-cloud-contract-shade 依賴項中陰影化的 com.google.guava:guava 依賴項，使用不安全許可權建立臨時目錄。

受影響的 Spring 產品和版本

Spring Cloud Contract
- 4.1.0
- 4.0.0 到 4.0.5
- 3.1.0 到 3.1.10

緩解措施

將 Spring Cloud Contract 升級到 3.1.10 或 4.0.5 或 4.1.1。

受影響版本的使用者應應用以下緩解措施。4.1.x 使用者應升級到 4.1.1。4.0.x 使用者應升級到 4.0.5。3.1.x 使用者應升級到 3.1.10。無需其他步驟。已修復此問題的版本包括

Spring Cloud Contract
- 4.1.1
- 4.0.5
- 3.1.10

鳴謝

此問題由 Oddball 的 Michael Kimball 發現並負責任地報告。

參考

更上一層樓

VMware 提供培訓和認證，以加速您的進步。

瞭解更多

獲取支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案。

瞭解更多

即將舉行的活動

檢視 Spring 社群中所有即將舉行的活動。

檢視全部

Spring Security 安全公告

CVE-2024-22236：透過使用不安全許可權建立的臨時目錄導致本地資訊洩露

描述

受影響的 Spring 產品和版本

緩解措施

鳴謝

參考

報告漏洞

更上一層樓

獲取支援

即將舉行的活動