描述

在 Spring Cloud Contract 中，版本 4.1.x（早於 4.1.1）、版本 4.0.x（早於 4.0.5）以及版本 3.1.x（早於 3.1.10）的測試執行容易受到本地資訊洩漏的影響，原因是透過 org.springframework.cloud:spring-cloud-contract-shade 依賴項中經過著色的 com.google.guava:guava 依賴項，以不安全權限建立臨時目錄。

受影響的 Spring 產品和版本

• Spring Cloud Contract
  • 4.1.0
  • 4.0.0 至 4.0.5
  • 3.1.0 至 3.1.10

緩解措施

將 Spring Cloud Contract 升級至 3.1.10 或 4.0.5 或 4.1.1。

受影響版本的用戶應採用以下緩解措施。 4.1.x 用戶應升級至 4.1.1。 4.0.x 用戶應升級至 4.0.5。 3.1.x 用戶應升級至 3.1.10。 無需其他步驟。 已修復此問題的版本包括

• Spring Cloud Contract
  • 4.1.1
  • 4.0.5
  • 3.1.10

鳴謝

此問題由 Oddball 的 Michael Kimball 發現並負責任地報告。

參考文獻

• https://snyk.io/vuln/SNYK-JAVA-COMGOOGLEGUAVA-1015415
• https://www.cve.org/cverecord?id=CVE-2020-8908