5398:Spring Framework 反射型文件下载攻击警报

2020年1月17日,我们监测到Spring正式发布了漏洞级别高的CVE-2020-5398漏洞警告。

在Spring Framework(5.2.x之前的5.2.x版本,5.1.13之前的5.1.x版本和5.0.16之前的5.0.x版本)中,应用程序容易受到反射型文件下载(RFD)攻击。攻击是通过在响应中设置“ Content-Disposition”响应标头引起的,其中文件名属性来自用户提供的输入。

我们认为漏洞级别很高,危害/影响很大。建议Spring MVC或Spring WebFlux用户及时安装最新的补丁程序,以避免被黑客入侵。

受影响的版本

5.2.0至5.2.2

5.1.0至5.1.12

5.0.0至5.0.15

解决方法

建议Spring Framework 5.2.x用户升级到Spring Framework 5.2.3。 Spring Framework 5.1.x用户应升级到Spring Framework 5.1.13。 Spring Framework 5.0.x用户应升级到Spring Framework 5.0.16。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/6f56529b2f2bc448e3e0880ca7c32f1f.html