尊敬的腾讯云用户，您好！

腾讯云安全运营中心监测到， Spring官方发布安全通告，披露其多个产品漏洞，漏洞编号CVE-2021-22096、CVE-2021-22047、CVE-2021-22097、CVE-2021-22044。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

CVE-2021-22044（高危）：
Spring Cloud OpenFeign 客户端端点暴露漏洞，在 Feign 客户端接口上使用 `@RequestMapping` 注释的应用程序可能会暴露与 `@RequestMapping` 注释的接口方法对应的端点。

CVE-2021-22096（中危）：
Spring Framework日志注入漏洞，攻击者可能会使用恶意输入以导致插入额外的日志条目。

CVE-2021-22047（中危）：
在一特定情况下，自定义 Spring Data REST 资源可能存在安全绕过问题。

CVE-2021-22097（中危）：
Spring-AMQP 远程拒绝服务漏洞。攻击者可构造恶意的java.util.Dictionary 对象，导致应用程序中 100% 的 CPU 使用率。

风险等级

高风险

漏洞风险

可导致绕过某些安全措施等危害

影响版本

CVE-2021-22044：
Spring Cloud OpenFeign 3.0.0 - 3.0.5
Spring Cloud OpenFeign 2.2.0.RELEASE - 2.2.9.RELEASE

CVE-2021-22096：
Spring Framework 5.3.0 - 5.3.10
Spring Framework 5.2.0 - 5.2.17

CVE-2021-22047:
Spring Data REST 3.4.0 - 3.4.13
Spring Data REST 3.5.0 - 3.5.5

CVE-2021-22097:
Spring AMQP 2.2.0 - 2.2.18
Spring AMQP 2.3.0 - 2.3.10

安全版本

CVE-2021-22044：
Spring Cloud OpenFeign > 3.0.5
Spring Cloud OpenFeign > 2.2.10.RELEASE

CVE-2021-22096：
Spring Framework > 5.3.12
Spring Framework > 5.2.18

CVE-2021-22047:
Spring Data REST > 3.4.14
Spring Data REST > 3.5.6

CVE-2021-22097:
Spring AMQP 2.3.11
Spring AMQP 2.2.19

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://tanzu.vmware.com/security/cve-2021-22044
https://tanzu.vmware.com/security/cve-2021-22096
https://tanzu.vmware.com/security/cve-2021-22047
https://tanzu.vmware.com/security/cve-2021-22097