【漏洞详情】
平安云安全中心监控到Spring Cloud Config官方发布了 Spring Cloud Config Server 目录遍历漏洞通报( CVE-2020-5410)。当通过Spring Cloud Config Server模块处理目录遍历序列时,由于服务端对输入信息存在校验错误,远程攻击者可通过发送一个特别设计的HTTP请求读取服务端任意文件。
【风险评级】
高危
【影响范围】
l Spring Cloud Config 2.2.0 - 2.2.2
l Spring Cloud Config 2.1.0 - 2.1.8
【修复建议】
目前厂商已发布升级补丁修复漏洞,建议用户依据实际业务评估漏洞影响,升级官方最新安全版本。
安全版本下载链接:https://github.com/spring-cloud/spring-cloud-config/releases。
【参考链接】
https://tanzu.vmware.com/security/cve-2020-5410
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年6月3日