描述

在 Feign 用戶端介面上使用類型層級的 @RequestMapping 註釋的應用程式，可能會無意中暴露對應於 @RequestMapping 註釋的介面方法的端點。雖然以這種方式傳送的請求不會傳回回應，但它確實到達了對應的伺服器端點。

在 Feign 用戶端介面上使用類型層級的 @RequestMapping 做法已在文件中不鼓勵使用，但我們現在採取完全拒絕的步驟。

受影響的 Spring 產品和版本

• Spring Cloud OpenFeign
  • 3.0.0 至 3.0.4
  • 2.2.0.RELEASE 至 2.2.9.RELEASE
  • 較舊、不受支援的版本也會受到影響

緩解措施

受影響版本的用戶應升級到以下版本之一。無需其他步驟。

• Spring Cloud OpenFeign
  • 3.0.5+
  • 2.2.10.RELEASE+

貢獻

此漏洞是在 Spring 團隊內部發現的。

參考

• https://spring-docs.dev.org.tw/spring-cloud-openfeign/docs/3.0.4/reference/html/#spring-cloud-feign-inheritance

歷史記錄

• 2021-10-27：已更正受影響的版本。
  2021-10-26：發布了初始漏洞報告。