描述

在 Feign 客戶端介面上使用型別級別 @RequestMapping 註解的應用程式可能會在無意中暴露與 @RequestMapping 註解介面方法對應的端點。儘管對於傳送的請求未返回響應...

描述

在 Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17 版本以及更舊的不受支援的版本中，使用者可以提供惡意輸入，導致插入額外的日誌條目。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 至 5.3.10
  • 5.2.0 至 5.2.17
  • 較舊的、不受支援的版本也受到影響

緩解措施

…

描述

Spring AMQP Message 物件的 toString() 方法將反序列化內容型別為 application/x-java-serialized-object 的訊息主體。java.lang 和 java.util 包中的類被認為是可信的。

可以構造一個...

描述

Spring Security 5.5.1 之前的 5.5.x 版本、5.4.7 之前的 5.4.x 版本、5.3.10 之前的 5.3.x 版本和 5.2.11 之前的 5.2.x 版本容易受到透過在 OAuth 2.0 客戶端 Web 和...中發起授權請求導致的拒絕服務 (DoS) 攻擊。

描述

在 Spring Framework 5.2.15 之前的 5.2.x 版本和 5.3.7 之前的 5.3.x 版本中，WebFlux 應用程式容易受到許可權提升：透過（重新）建立臨時儲存目錄，經過本地認證的惡意使用者可以讀取或修改已上傳到 WebFlux 應用程式的檔案，或使用多部分請求資料覆蓋任意檔案。

Spring MVC 應用程式不受此漏洞影響，不處理多部分檔案請求的應用程式也不受影響。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.2.0 至 5.2.14
  • 5.3.0 至 5.3.6

緩解措施

受影響版本的使用者應採取以下緩解措施。5.3.x 使用者應升級到 5.3.7。5.2.x 使用者應升級到 5.2.15。無需其他步驟。已修復此問題的版本包括

• Spring Framework
  • 5.3.7
  • …

描述

spring-integration-zip 1.0.4 之前的版本暴露了一個任意檔案寫入漏洞，可以透過使用特製 Zip 檔案（也影響其他檔案，bzip2、tar、xz、war、cpio、7z）實現，該檔案包含路徑遍歷...

描述

Spring Security 5.4.0 至 5.4.3、5.3.0.RELEASE 至 5.3.8.RELEASE、5.2.0.RELEASE 至 5.2.8.RELEASE 以及更舊的不受支援的版本，如果在一個請求中多次更改 SecurityContext，則可能無法儲存。SecurityContext...

描述

使用 Spring Cloud Netflix Zuul 2.2.6.RELEASE 及以下版本中“敏感頭部”功能的應用程式，在執行帶有特殊構造 URL 的請求時，可能容易繞過“敏感頭部”限制。應用程式...

描述

在 Spring Cloud Data Flow 2.6.5 之前的 2.6.x 版本、2.5.4 之前的 2.5.x 版本中，應用程式在請求任務執行時容易受到 SQL 注入。

受影響的 Spring 產品和版本

• Spring Cloud Data Flow
  • 2.6.x
  • 2.5.x

緩解措施

使用者應升級到 2.5.4 及更高版本。已修復此問題的版本包括

• Spring Cloud Data Flow
  • 2.7.0
  • 2.6.5
  • …

描述

在 Spring Cloud Task 2.2.4.RELEASE 及以下版本的應用程式中，在 TaskExplorer 中執行某些查詢查詢時，可能容易受到 SQL 注入。

受影響的 Spring 產品和版本

• Spring Cloud Task
  • 2.2.4 及以下

緩解措施

使用者應升級到 2.2.5 及更高版本。已修復此問題的版本包括

• Spring Cloud Task
  • 2.3.0
  • …