領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2020-5421:透過 jsessionid 繞過 RFD 保護
描述
在 Spring Framework 版本 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更早的不受支援的版本中,透過使用 jsessionid 路徑引數,可能會繞過 CVE-2015-5211 中的 RFD 攻擊保護,具體取決於所使用的瀏覽器。
受影響的 Spring 產品和版本
- Spring Framework
- 5.2.0 到 5.2.8
- 5.1.0 到 5.1.17
- 5.0.0 到 5.0.18
- 4.3.0 到 4.3.28
- 更舊的,不受支援的版本
緩解措施
- Spring Framework
- 5.2.9
- 5.1.18
- 5.0.19
- 4.3.29
鳴謝
這個問題由 Keitaro Yamazaki / Ierae Security 發現並負責任地報告。
參考
歷史
- 2020-09-17:釋出初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略