鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-5421 | Spring Framework反射型文件下载误差通告

宣布时间 2020-09-22

0x00 误差概述

CVE ID

CVE-2020-5421

时间

2020-09-22

类型

RFD

等级

高危

远程使用

是

影响规模

Spring Framework

5.2.0 - 5.2.8

5.1.0 - 5.1.17

5.0.0 - 5.0.18

4.3.0 - 4.3.28

以及更早期的版本

Spring Framework是一个Java/Java EE/.NET的分层应用程序框架。。。。。。该框架基于Expert One-on-One Java EE Design and Development（ISBN 0-7645-4385-7）一文中的代码，，，，，并最初由Rod Johnson开发。。。。。。Spring Framework提供了一个浅易的开发方法，，，，，这种开发方法将阻止那些可能致使底层代码变得繁杂杂乱的大宗属性文件和资助类。。。。。。

0x01 误差详情

2020年09月17日，，，，，VMware宣布清静通告，，，，，Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28及更早期的版本中保存一个反射型文件下载误差，，，，，误差跟踪为CVE-2020-5421。。。。。。该误差可通过使用jsessionid路径参数绕过RFD清静防护战略。。。。。。

别的，，，，，针对RFD攻击，，，，，还可以接纳一些其他的要领：

编码而不是转义JSON响应。。。。。。这是OWASP XSS的建议。。。。。。有关怎样使用Spring举行操作的示例，，，，，请拜见https://github.com/rwinch/spring-jackson-owasp。。。。。。
将后缀模式匹配设置为关闭或仅限于显式注册的后缀。。。。。。
使用内容属性“useJaf”和“ignoreUknownPathExtension“设置为false来设置内容协商，，，，，这将导致扩展名未知的URL爆发406响应。。。。。。可是若是自然希望URL的末尾有一个点，，，，，将不可接纳此种要领。。。。。。
在响应中添加“ X-Content-Type-Options：nosniff”标头。。。。。。Spring Security 4默认情形接纳此种方法。。。。。。

0x02 处置惩罚建议

现在VMware官方已宣布清静更新，，，，，建议将Spring Framework升级到新的版本：

5.2.9

5.1.18

5.0.19

4.3.29

下载链接：

https://github.com/spring-projects/spring-framework/releases

0x03 相关新闻

https://spring.io/blog/2015/10/15/spring-framework-4-2-2-4-1-8-and-3-2-15-available-now

0x04 参考链接

https://tanzu.vmware.com/security/cve-2020-5421

https://tanzu.vmware.com/security/cve-2015-5211

https://www.security-database.com/detail.php?alert=CVE-2015-5211

0x05 时间线

2020-09-17 VMware宣布清静通告

2020-09-22 VSRC宣布清静通告

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】