【安全通告】Spring Cloud Config Server目录遍历漏洞风险通告(CVE-2020-5405)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Spring Cloud Config Server被曝存在目录遍历漏洞(漏洞编号:CVE-2020-5405),漏洞被利用可导致目录遍历攻击。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
该漏洞是由于MVC架构中直接对获取到的name和label进行了拼接,没有做任何过滤,攻击者可以使用专门设计的URL来发送请求,从而进行任意位置的回溯并读取文件,导致目录遍历攻击。
风险等级
中风险
漏洞风险
攻击者可以使用专门设计的URL来发送请求,进行任意位置的回溯并读取文件,导致目录遍历。
影响版本
Spring Cloud Config Server 2.1.0-2.1.6
Spring Cloud Config Server 2.2.0-2.2.1
安全版本
Spring Cloud Config Server 2.2.2
Spring Cloud Config Server 2.1.7
修复建议
1)官方发布的最新版本已修复该漏洞,检查您的Spring Cloud Config Server是否在受影响版本范围
2)如受影响,请你选择合理时间进行升级操作,升级到最新版本,避免影响业务。
漏洞参考