首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-5410 | VMware Spring Cloud Config目录遍历误差通告

宣布时间 2020-06-02

0x00 误差概述

CVE ID

CVE-2020-5410

时间

2020-06-02

类型

等级

高危

远程使用

是

影响规模

VMware Spring Cloud Config

2.2.0-2.2.2、2.1.0-2.1.8和不再受支持的旧版本

0x01 误差详情

VMware Spring Cloud Config是美国威睿（VMware）公司的一套漫衍式系统的设置治明确决计划。。。。该产品主要为漫衍式系统中的外部设置提供效劳器和客户端支持。。。。
克日VMware官方宣布通告，，，，，修复了一个VMware Spring Cloud Config中的目录遍历误差（CVE-2020-5410）。。。。该误差源于VMware Spring Cloud Config 2.2.0-2.2.2版本、2.1.0-2.1.8版本和不再受支持的旧版本允许应用程序通过spring-cloud-config-server�？？？？？？樘峁╉б馍柚梦募�，，，，，使攻击者可以使用全心结构的URL举行恣意文件读取。。。。

0x02 处置惩罚建议

官方已宣布最新版本修复了此误差，，，，，用户应尽快升级到VMware Spring Cloud Config 2.2.3或2.1.9版本，，，，，其中不再支持的旧版本应尽快升级至可支持的不受该误差影响的版本。。。。下载地点：
https://github.com/spring-cloud/spring-cloud-config/releases
暂时步伐：将spring-cloud-config-server安排在内网中，，，，，并且使用Spring Security对其举行�；；；；；；；�，，，，，使得只有内部网络会见权限的用户和具有准确身份验证的用户才华举行会见。。。。

0x03 相关新闻

https://spring.io/blog/2020/06/01/spring-cloud-greenwich-sr6-hoxton-sr5-and-2020-0-0-m2-aka-ilford-are-available

0x04 参考链接

https://tanzu.vmware.com/security/cve-2020-5410

0x05 时间线

2020-06-01 VMware官方宣布通告
2020-06-02 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-5410 | VMware Spring Cloud Config目录遍历误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线