領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2020-5427:Spring Cloud Data Flow任務執行排序查詢中存在SQL注入的可能性
描述
在 Spring Cloud Data Flow 中,2.6.x 版本(低於 2.6.5)、2.5.x 版本(低於 2.5.4)的應用程式在請求任務執行時容易受到 SQL 注入攻擊。
受影響的 Spring 產品和版本
- Spring Cloud Data Flow
- 2.6.x
- 2.5.x
緩解措施
使用者應升級到 2.5.4 及更高版本。已修復此問題的版本包括
- Spring Cloud Data Flow
- 2.7.0
- 2.6.5
- 2.5.4
鳴謝
此問題由 CHECK24 Factory GmbH 的 Sufijen Bani 發現並負責任地報告。
參考
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5427
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.7.0
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.6.4
歷史記錄
- 2020-12-01:釋出 2.7.0 版本,包含修復
- 2020-11-24:釋出 2.6.x 系列的修復
- 2020-10-30:初步確定漏洞。
報告漏洞
要報告 Spring 產品組合中專案的安全漏洞,請參閱安全策略