首页 » 安全预警 » 正文

【高危安全通告】Spring Cloud Config Server 目录遍历漏洞( CVE-2020-5410)

近日,安全狗监测到,Spring Cloud Config官方发布了 Spring Cloud Config Server 目录遍历的风险通告(漏洞编号为 CVE-2020-5410),远程攻击者可以通过发送一个特殊构造的HTTP请求,造成任意文件读取。为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

Spring Cloud Config项目是一个解决分布式系统的配置管理方案,为分布式系统中的外部配置提供服务器和客户端支持。

该漏洞由于Spring Cloud Config Server模块处理目录遍历序列时存在输入验证错误而导致,远程攻击者可以通过发送一个特殊构造的HTTP请求,造成任意文件读取。

官方已发布漏洞修复更新,安全狗安全建议您:

1)升级到 Spring Cloud Config 至【修复版本】;

     新版本下载地址:https://github.com/spring-cloud/spring-cloud-config/releases

2)将Spring-Cloud-Config-Server服务放置在内网中,同时使用Spring Security进行身份验证。

发表评论