描述

在 Feign 客户端接口上使用类型级别 @RequestMapping 注解的应用程序可能会在无意中暴露与 @RequestMapping 注解接口方法对应的端点。尽管对于发送的请求未返回响应...

描述

在 Spring Framework 5.3.0 - 5.3.10、5.2.0 - 5.2.17 版本以及更旧的不受支持的版本中，用户可以提供恶意输入，导致插入额外的日志条目。

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 至 5.3.10
  • 5.2.0 至 5.2.17
  • 较旧的、不受支持的版本也受到影响

缓解措施

…

描述

Spring AMQP Message 对象的 toString() 方法将反序列化内容类型为 application/x-java-serialized-object 的消息主体。java.lang 和 java.util 包中的类被认为是可信的。

可以构造一个...

描述

Spring Security 5.5.1 之前的 5.5.x 版本、5.4.7 之前的 5.4.x 版本、5.3.10 之前的 5.3.x 版本和 5.2.11 之前的 5.2.x 版本容易受到通过在 OAuth 2.0 客户端 Web 和...中发起授权请求导致的拒绝服务 (DoS) 攻击。

描述

在 Spring Framework 5.2.15 之前的 5.2.x 版本和 5.3.7 之前的 5.3.x 版本中，WebFlux 应用程序容易受到权限提升：通过（重新）创建临时存储目录，经过本地认证的恶意用户可以读取或修改已上传到 WebFlux 应用程序的文件，或使用多部分请求数据覆盖任意文件。

Spring MVC 应用程序不受此漏洞影响，不处理多部分文件请求的应用程序也不受影响。

受影响的 Spring 产品和版本

• Spring Framework
  • 5.2.0 至 5.2.14
  • 5.3.0 至 5.3.6

缓解措施

受影响版本的用户应采取以下缓解措施。5.3.x 用户应升级到 5.3.7。5.2.x 用户应升级到 5.2.15。无需其他步骤。已修复此问题的版本包括

• Spring Framework
  • 5.3.7
  • …

描述

spring-integration-zip 1.0.4 之前的版本暴露了一个任意文件写入漏洞，可以通过使用特制 Zip 档案（也影响其他档案，bzip2、tar、xz、war、cpio、7z）实现，该档案包含路径遍历...

描述

Spring Security 5.4.0 至 5.4.3、5.3.0.RELEASE 至 5.3.8.RELEASE、5.2.0.RELEASE 至 5.2.8.RELEASE 以及更旧的不受支持的版本，如果在一个请求中多次更改 SecurityContext，则可能无法保存。SecurityContext...

描述

使用 Spring Cloud Netflix Zuul 2.2.6.RELEASE 及以下版本中“敏感头部”功能的应用程序，在执行带有特殊构造 URL 的请求时，可能容易绕过“敏感头部”限制。应用程序...

描述

在 Spring Cloud Data Flow 2.6.5 之前的 2.6.x 版本、2.5.4 之前的 2.5.x 版本中，应用程序在请求任务执行时容易受到 SQL 注入。

受影响的 Spring 产品和版本

• Spring Cloud Data Flow
  • 2.6.x
  • 2.5.x

缓解措施

用户应升级到 2.5.4 及更高版本。已修复此问题的版本包括

• Spring Cloud Data Flow
  • 2.7.0
  • 2.6.5
  • …

描述

在 Spring Cloud Task 2.2.4.RELEASE 及以下版本的应用程序中，在 TaskExplorer 中执行某些查找查询时，可能容易受到 SQL 注入。

受影响的 Spring 产品和版本

• Spring Cloud Task
  • 2.2.4 及以下

缓解措施

用户应升级到 2.2.5 及更高版本。已修复此问题的版本包括

• Spring Cloud Task
  • 2.3.0
  • …