領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2020-5427: Spring Cloud Data Flow 任務執行排序查詢中可能存在 SQL 注入
描述
在 Spring Cloud Data Flow 2.6.x 2.6.5 版本之前,2.5.x 2.5.4 版本之前,當請求任務執行時,應用程式容易受到 SQL 注入攻擊。
受影響的 Spring 產品和版本
- Spring Cloud Data Flow
- 2.6.x
- 2.5.x
緩解措施
使用者應升級到 2.5.4 及更高版本。已修復此問題的版本包括
- Spring Cloud Data Flow
- 2.7.0
- 2.6.5
- 2.5.4
致謝
此問題由 CHECK24 Factory GmbH 的 Sufijen Bani 發現並負責任地報告。
參考資料
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5427
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.7.0
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.6.4
歷史
- 2020-12-01: 釋出 2.7.0 版本並修復
- 2020-11-24: 釋出 2.6.x 版本的修復
- 2020-10-30: 初步發現漏洞。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略