抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多如果创建 EndpointRequest
的 actuator 端点被禁用或未暴露,则 EndpointRequest.to()
会为 null/**
创建一个匹配器。
如果满足以下所有条件,您的应用程序可能会受到影响
EndpointRequest.to()
已在 Spring Security 链配置中使用EndpointRequest
引用的端点已禁用或未通过 web 暴露/null
的请求,并且此路径需要保护如果以下任何一项为真,则您不会受到影响
EndpointRequest.to()
EndpointRequest.to()
引用的端点已启用并已暴露/null
的请求,或者此路径不需要保护Spring Boot
受影响版本的用户应升级到相应的修复版本。
受影响的版本 | 修复版本 | 可用性 |
---|---|---|
2.7.x | 2.7.25 | 仅企业支持 |
3.1.x | 3.1.16 | 仅企业支持 |
3.2.x | 3.2.14 | 仅企业支持 |
3.3.x | 3.3.11 | OSS |
3.4.x | 3.4.5 | OSS |
如果您无法升级,您可以选择
EndpointRequest.to()
引用的端点已启用并已通过 web 暴露/null
的请求此漏洞由 Janek Bettinger 发现并负责任地报告 ([email protected]).
要报告 Spring 系列项目中存在的安全漏洞,请参阅安全策略