CVE-2020-5398:Spring Framework 反射型文件下载攻击警报

2020年1月17日,我们监测到Spring正式发布了漏洞级别高的CVE-2020-5398漏洞警告。

在Spring Framework(5.2.x之前的5.2.x版本,5.1.13之前的5.1.x版本和5.0.16之前的5.0.x版本)中,应用程序容易受到反射型文件下载(RFD)攻击。攻击是通过在响应中设置“ Content-Disposition”响应标头引起的,其中文件名属性来自用户提供的输入。

我们认为漏洞级别很高,危害/影响很大。建议Spring MVC或Spring WebFlux用户及时安装最新的补丁程序,以避免被黑客入侵。

受影响的版本

  • 5.2.0至5.2.2
  • 5.1.0至5.1.12
  • 5.0.0至5.0.15

解决方法

建议Spring Framework 5.2.x用户升级到Spring Framework 5.2.3。 Spring Framework 5.1.x用户应升级到Spring Framework 5.1.13。 Spring Framework 5.0.x用户应升级到Spring Framework 5.0.16。

Linux公社的RSS地址
https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2020-01/162073.htm

原文 

https://www.linuxidc.com/Linux/2020-01/162073.htm

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » CVE-2020-5398:Spring Framework 反射型文件下载攻击警报

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址