描述

在使用路由功能時，Spring Cloud Function 版本 3.1.6、3.2.2 及更早的不受支援的版本中，使用者可以提供特製的 SpEL 作為路由表示式，這可能導致遠端程式碼執行並……

描述

在 Spring Framework 版本 5.3.0 - 5.3.16、5.2.0 - 5.2.19 及更早的不受支援的版本中，使用者可以提供特製的 SpEL 表示式，這可能導致拒絕服務情況。

受影響的 Spring 產品和…

描述

使用 Spring Cloud Gateway 並配置為啟用 HTTP2 且未設定金鑰庫或受信任證書的應用將配置為使用不安全的 TrustManager。這使得閘道器能夠連線到無效的遠端服務，並…

描述

當 Gateway Actuator 端點被啟用、暴露且未受保護時，使用 Spring Cloud Gateway 的應用容易受到程式碼注入攻擊。遠端攻擊者可以製造惡意請求，從而允許任意遠端…

描述

在 Spring Framework 版本 5.3.0 - 5.3.13、5.2.0 - 5.2.18 及更早的不受支援的版本中，使用者可以提供惡意輸入來導致插入附加日誌條目。這是 CVE-2021-22096 的後續，用於保護…

描述

Spring AMQP Message 物件的 toString() 方法將從訊息體建立一個新的 String 物件，無論其大小如何。

這可能導致大訊息體引起的 OOM 錯誤。

受影響的 Spring 產品和版本

• Spring AMQP
  • 2.2.0 - 2.2.19
  • 2.3.0 - 2.3.11

緩解措施

使用者…

描述

同時使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的應用在檢視模板解析期間暴露了一種執行在請求 URI 路徑中提交的程式碼的方式。當對 /hystrix/monitor… 發出請求時…

描述

使用 Spring Cloud Gateway 的應用容易受到精心構造的請求攻擊，這些請求可能對下游服務發出額外請求。

受影響的 Spring 產品和版本

• Spring Cloud Gateway
  • 3.0.0 至 3.0.4
  • 2.2.0.RELEASE 至 2.2.9.RELEASE
  • 更早的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施：3.0.x 使用者應升級到 3.0.5+，2.2.x 使用者應升級到 2.2.10.RELEASE+。無需採取其他步驟。已修復此問題的版本包括

• Spring Cloud Gateway
  • 3.0.5+
  • …

描述

在 Feign 客戶端介面上使用型別級別 @RequestMapping 註解的應用，可能會無意中暴露對應於使用 @RequestMapping 註解的介面方法的端點。儘管對傳送的請求沒有返回響應，但…

描述

在 Spring Data REST 版本 3.4.0 - 3.4.13、3.5.0 - 3.5.5 及更早的不受支援的版本中，使用配置的基礎 API 路徑和控制器型別級別請求對映實現的自定義控制器所實現的 HTTP 資源，會在以下路徑下額外暴露…