描述

在 Feign 客户端接口上使用类型级 @RequestMapping 注解的应用程序，可能会无意中暴露与 @RequestMapping 注解的接口方法对应的端点。尽管以这种方式发送的请求不会返回响应，但它确实会到达相应的服务器端端点。

在 Feign 客户端接口上使用类型级 @RequestMapping 的做法已在文档中不被鼓励，但我们现在采取措施完全禁止它。

受影响的 Spring 产品和版本

• Spring Cloud OpenFeign
  • 3.0.0 到 3.0.4
  • 2.2.0.RELEASE 到 2.2.9.RELEASE
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应升级到以下版本之一。无需其他步骤。

• Spring Cloud OpenFeign
  • 3.0.5+
  • 2.2.10.RELEASE+

致谢

此漏洞由 Spring 团队内部发现。

参考资料

• https://docs.springjava.cn/spring-cloud-openfeign/docs/3.0.4/reference/html/#spring-cloud-feign-inheritance

历史

• 2021-10-27: 受影响版本已更正。
  2021-10-26: 最初的漏洞报告已发布。