Spring Cloud Function 是基于Spring Boot 的函数计算框架，它抽象出所有传输细节和基础架构，允许开发人员保留所有熟悉的工具和流程，并专注于业务逻辑。

漏洞详情

近日，Spring Cloud官方修复了一个Spring Cloud Function中的SPEL表达式注入漏洞，由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理，造成了Spel表达式注入漏洞，未经授权的远程攻击者可利用该漏洞执行任意代码。

影响范围

3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2

修复建议

目前官方已针对此漏洞发布修复补丁，请及时更新进行防护。

参考链接

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f