描述

Spring Cloud Config，2.2.x 版本低於 2.2.3，2.1.x 版本低於 2.1.9，以及較舊的不受支援版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。 惡意使用者或攻擊者可以使用專門構造的 URL 傳送請求，從而導致目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Cloud Config
  • 2.2.0 到 2.2.2
  • 2.1.0 到 2.1.8

緩解措施

受影響版本的使用者應採取以下緩解措施。舊版本應升級到受支援的分支。 沒有其他必要的緩解步驟。 請注意，spring-cloud-config-server 應該僅在需要它的內部網路上可用，並且應該使用 Spring Security 進行保護，這會將此漏洞的暴露限制在具有內部網路訪問許可權的人員和具有適當身份驗證的那些使用者。

• Spring Cloud Config
  • 2.2.3
  • 2.1.9

鳴謝

Fei Lu ( [email protected]) 和 [email protected] 發現了這個問題並負責任地報告了它。

參考

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

歷史

• 2020-05-15：釋出初始漏洞報告。
• 2020-06-01：更新版本至 2.1.9 並添加了額外鳴謝。