2020年1月17日,我们监测到Spring正式发布了漏洞级别高的CVE-2020-5398漏洞警告。
在Spring Framework(5.2.x之前的5.2.x版本,5.1.13之前的5.1.x版本和5.0.16之前的5.0.x版本)中,应用程序容易受到反射型文件下载(RFD)攻击。攻击是通过在响应中设置“ Content-Disposition”响应标头引起的,其中文件名属性来自用户提供的输入。
我们认为漏洞级别很高,危害/影响很大。建议Spring MVC或Spring WebFlux用户及时安装最新的补丁程序,以避免被黑客入侵。
受影响的版本
5.2.0至5.2.2
5.1.0至5.1.12
5.0.0至5.0.15
解决方法
建议Spring Framework 5.2.x用户升级到Spring Framework 5.2.3。 Spring Framework 5.1.x用户应升级到Spring Framework 5.1.13。 Spring Framework 5.0.x用户应升级到Spring Framework 5.0.16。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx