【中危】- Spring Cloud Config Server目录遍历漏洞(CVE-2020-5410)
■ 漏洞描述
Spring Could Config Server存在目录遍历漏洞CVE-2020-5410,该漏洞是由于MVC架构中直接对获取到的name和label进行了拼接,没有做任何过滤,配合上配置文件中的基地址,就可以进行任意位置的回溯并读取文件。
■ 影响范围
Spring Cloud Config Server 2.1.0-2.1.8
Spring Cloud Config Server 2.2.0-2.2.2
■ 漏洞修复
1. 最新版本Spring Cloud Config Server 已经防御此漏洞,请受漏洞影响的用户下载最新版本,下载链接:
https://github.com/spring-cloud/spring-cloud-config。
2. 如非业务功能需求,尽量不配置native访问。
■ 临时修复
1.如不能及时更新版本,添加waf,匹配攻击特征:"../"。
■ 漏洞详情
https://mp.weixin.qq.com/s/qBCaJB0C3XmrHg_K7XH8zQ
Spring Could Config Server存在目录遍历漏洞CVE-2020-5410,该漏洞是由于MVC架构中直接对获取到的name和label进行了拼接,没有做任何过滤,配合上配置文件中的基地址,就可以进行任意位置的回溯并读取文件。
■ 影响范围
Spring Cloud Config Server 2.1.0-2.1.8
Spring Cloud Config Server 2.2.0-2.2.2
■ 漏洞修复
1. 最新版本Spring Cloud Config Server 已经防御此漏洞,请受漏洞影响的用户下载最新版本,下载链接:
https://github.com/spring-cloud/spring-cloud-config。
2. 如非业务功能需求,尽量不配置native访问。
■ 临时修复
1.如不能及时更新版本,添加waf,匹配攻击特征:"../"。
■ 漏洞详情
https://mp.weixin.qq.com/s/qBCaJB0C3XmrHg_K7XH8zQ