一、概要
近日,我们关注到Spring Framework爆出存在新的反射型文件下载漏洞(CVE-2020-5421),漏洞可通过 jsessionid 路径参数,绕过防御 RFD 攻击的保护。攻击者利用漏洞使用户下载恶意文件,从而危害用户终端。
我们提醒使用Spring Framework的用户及时安排自检并做好安全加固。
参考链接:
https://tanzu.vmware.com/security/cve-2020-5421
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Spring Framework 5.2.0 - 5.2.8
Spring Framework 5.1.0 - 5.1.17
Spring Framework 5.0.0 - 5.0.18
Spring Framework 4.3.0 - 4.3.28
安全版本:
Spring Framework 5.2.9
Spring Framework 5.1.18
Spring Framework 5.0.19
Spring Framework 4.3.29
四、漏洞处置
目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。
下载地址:https://github.com/spring-projects/spring-framework/releases
注:修复漏洞前请将资料备份,并进行充分测试。