转载

CVE-2020-5398:Spring Framework 反射型文件下载攻击警报

2020年1月17日,我们监测到Spring正式发布了漏洞级别高的CVE-2020-5398漏洞警告。

在Spring Framework(5.2.x之前的5.2.x版本,5.1.13之前的5.1.x版本和5.0.16之前的5.0.x版本)中,应用程序容易受到反射型文件下载(RFD)攻击。攻击是通过在响应中设置“ Content-Disposition”响应标头引起的,其中文件名属性来自用户提供的输入。

我们认为漏洞级别很高,危害/影响很大。建议Spring MVC或Spring WebFlux用户及时安装最新的补丁程序,以避免被黑客入侵。

受影响的版本

  • 5.2.0至5.2.2
  • 5.1.0至5.1.12
  • 5.0.0至5.0.15

解决方法

建议Spring Framework 5.2.x用户升级到Spring Framework 5.2.3。 Spring Framework 5.1.x用户应升级到Spring Framework 5.1.13。 Spring Framework 5.0.x用户应升级到Spring Framework 5.0.16。

Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2020-01/162073.htm

原文  https://www.linuxidc.com/Linux/2020-01/162073.htm
正文到此结束
Loading...