領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2020-5421:透過 jsessionid 繞過 RFD 保護
描述
在 Spring Framework 的 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更早的不受支援的版本中,根據所使用的瀏覽器,透過使用 jsessionid 路徑引數可能會繞過 CVE-2015-5211 的 RFD 攻擊防護。
受影響的 Spring 產品和版本
- Spring Framework
- 5.2.0 至 5.2.8
- 5.1.0 至 5.1.17
- 5.0.0 至 5.0.18
- 4.3.0 至 4.3.28
- 更早的不受支援的版本
緩解措施
- Spring Framework
- 5.2.9
- 5.1.18
- 5.0.19
- 4.3.29
致謝
此問題由 Keitaro Yamazaki / Ierae Security 發現並負責任地報告。
參考資料
歷史
- 2020-09-17:釋出初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略