漏洞概述 CVE-2026-40984: Micrometer HTTP server instrumentations DoS vulnerability 描述: 在Micrometer中,用户可以通过提供特别构造的HTTP请求,可能导致拒绝服务(DoS)条件。 具体条件: 应用程序在以下所有条件为真时易受攻击: - 应用程序使用了易受攻击版本的 、 或 。 - 一个或多个来自这些工件的HTTP服务器instrumentations被配置,并且通过instrumentation记录指标。 影响范围 受影响的产品和版本: - micrometer-core: - 1.16.0 - 1.16.5 - 1.15.0 - 1.15.11 - 1.14.0 - 1.14.15 - 1.13.0 - 1.13.18 - 1.9.0 - 1.9.17 - micrometer-jetty11: - 1.16.0 - 1.16.5 - 1.15.0 - 1.15.11 - 1.14.0 - 1.14.15 - 1.13.0 - 1.13.18 - micrometer-jetty12: - 1.16.0 - 1.16.5 - 1.15.0 - 1.15.11 - 1.14.0 - 1.14.15 - 1.13.0 - 1.13.18 不再支持的版本也受到影响。 修复方案 缓解措施: 受影响版本的应升级到相应的修复版本。 - 1.16.x: 修复版本为 1.16.6,可用性为 OSS。 - 1.15.x: 修复版本为 1.15.12,可用性为 OSS。 - 1.14.x: 修复版本为 1.14.16,可用性为 Enterprise Support Only。 - 1.13.x: 修复版本为 1.13.19,可用性为 Enterprise Support Only。 - 1.9.x: 修复版本为 1.9.18,可用性为 Enterprise Support Only。 无需进一步的缓解步骤。 其他信息 报告者: Yu Bao (@August829) - yubao@paypal.com,隶属于paypal.com。 参考链接: NVD CVSS v3 Calculator 历史: 2026-06-08: 初始漏洞报告发布。 总结 该漏洞涉及Micrometer HTTP服务器instrumentations的拒绝服务(DoS)问题,影响多个版本的产品。建议受影响的用户升级到指定的修复版本以解决此问题。