描述

Spring Cloud Config 2.2.x 版本低於 2.2.2，2.1.x 版本低於 2.1.7，以及較舊的不受支援的版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者可以使用特製 URL 傳送請求，從而導致目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Cloud Config
  • 2.2.0 到 2.2.1
  • 2.1.0 到 2.1.6

緩解措施

受影響版本的使用者應應用以下緩解措施：2.2.x 使用者應升級到 2.2.2，2.1.x 使用者應升級到 2.1.7。較舊的版本應升級到受支援的分支。不需要其他緩解步驟。請注意，spring-cloud-config-server 應該只在需要它的內部網路上可用，並且應該使用 Spring Security 進行保護。這將漏洞暴露限制在具有內部網路訪問許可權和具有適當身份驗證的使用者。

• Spring Cloud Config
  • 2.2.2
  • 2.1.7

鳴謝

此問題由 Yiming Xiang（[email protected] 來自 NSFOCUS Security Team）發現並負責任地報告。

參考

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

歷史

• 2020-02-26：釋出了最初的漏洞報告。