1. 极安网首页
  2. 网络安全新闻

SPRING FRAMEWORK反射型文件下载漏洞(CVE-2020-5421)

一、综述

近日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。

SPRING FRAMEWORK反射型文件下载漏洞(CVE-2020-5421)-极安网

攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。

官方已发布修复了漏洞的新版本。

Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。

参考链接:

https://tanzu.vmware.com/security/cve-2020-5421

二、影响范围

受影响产品版本

  • Spring Framework 5.2.0 – 5.2.8
  • Spring Framework 5.1.0 – 5.1.17
  • Spring Framework 5.0.0 – 5.0.18
  • Spring Framework 4.3.0 – 4.3.28
  • 以及其他已不受支持的版本

不受影响产品版本

  • Spring Framework 5.2.9
  • Spring Framework 5.1.18
  • Spring Framework 5.0.19
  • Spring Framework 4.3.29

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/1788.html