Spring Cloud Config Server 在跟踪日志中泄露秘密

执行摘要

广泛用于Java微服务配置管理的Spring Cloud Config Server存在信息泄露漏洞（CVE-2026-41004，CVSS 4.4），当启用跟踪日志记录时，会导致敏感数据（包括密码、API密钥和其他机密）以明文形式写入应用程序日志。该漏洞影响3.1.x和4.1.x发布线的所有支持版本。VMware by Broadcom已发布补丁，但3.1.x分支的修复仅适用于企业支持客户。

技术分析

根据Spring工程团队发布的公告，漏洞存在于Spring Cloud Config Server的TraceRepository组件中。当管理员启用跟踪级别的日志记录（通常用于调试配置传播或客户端-服务器交互）时，服务器会记录完整的请求和响应负载，包括存储在配置属性本身中的任何敏感字段。

公告托管在官方Spring Security漏洞披露页面上，声明：“在Spring Cloud Config Server启用跟踪日志时，敏感信息以明文形式放置在日志中。”截至本文撰写时，尚未发布确切代码路径或受影响类的进一步技术分解。

CVSS 4.4得分反映了低攻击复杂性，但要求攻击者已经能够访问日志文件——无论是通过单独的妥协、配置错误的日志聚合系统，还是共享的日志基础设施。对暴露的机密信息的保密性影响被评为高，而完整性和可用性不受影响。

受影响版本

• Spring Cloud Config 3.1.x：版本3.1.0至3.1.13（含）受影响。用户必须升级到3.1.14或更高版本。VMware指出，3.1.x是一个仅限企业支持的分支，意味着补丁不适用于开源社区用户。
• Spring Cloud Config 4.1.x：版本4.1.0至4.1.9（含）受影响。用户必须升级到4.1.10或更高版本。这个分支对所有用户都完全支持。

公告中没有提及早期的发布线（2.x及更早），可能已经结束生命周期；仍在运行这些版本的组织应将它们视为不受支持，并计划迁移。

缓解措施与建议

防御者应按优先顺序采取以下步骤：

1. 立即升级 — 对于4.1.x用户，升级到4.1.10或更高版本。对于3.1.x企业客户，升级到3.1.14或更高版本。没有报告的变通方法可以在不打补丁的情况下完全防止信息泄露。
2. 禁用跟踪日志记录 — 如果无法立即升级，请确保在所有Spring Cloud Config Server实例上禁用跟踪级别的日志记录。这可以通过在application.properties或application.yml中将logging.level.org.springframework.cloud.config.server=trace设置为WARN或ERROR来完成。请注意，这只防止新的机密被记录；任何已经写入现有日志文件的机密仍然暴露。
3. 审计现有日志 — 审查日志保留策略，并扫描历史日志以查找明文机密。如果日志被发送到集中的SIEM或日志管理平台，请轮换可能已暴露的凭据。可以对日志存档运行gitleaks或truffleHog等工具，以检测泄露的模式。
4. 限制日志访问 — 确保在文件系统和网络级别对日志文件和日志流进行访问控制。只有授权的操作和安全人员才能读取生产日志。