Spring Framework反射型文件下载漏洞风险通告,腾讯主机安全(云镜)支持检测

2020-09-21 10:39:46
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。

漏洞描述:

VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。

 

CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。VMware Tanzu官方已发布修复漏洞的新版本。 


Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。

 

漏洞等级:高危

 

受影响的版本:

Spring Framework

5.2.0 - 5.2.8

5.1.0 - 5.1.17

5.0.0 - 5.0.18

4.3.0 - 4.3.28

及更早期的版本

 

安全版本:

Spring Framework

5.2.9

5.1.18

5.0.19

4.3.29


下载链接:

https://github.com/spring-projects/spring-framework/releases


腾讯安全解决方案:

腾讯T-Sec主机安全(云镜)漏洞库日期2020-09-21之后的版本,已支持对Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞的检测。

关于腾讯T-Sec主机安全(云镜)的更多信息,可参考:https://cloud.tencent.com/product/cwp


参考资料:

https://tanzu.vmware.com/security/cve-2020-5421


 

最新资讯