首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-5410 | VMware Spring Cloud Config目錄遍歷漏洞通告

發布時間 2020-06-02

0x00 漏洞概述


CVE   ID

CVE-2020-5410

時    間

2020-06-02

類    型

DT

等    級

高危

遠程利用

影響范圍

VMware Spring Cloud Config

2.2.0-2.2.2、2.1.0-2.1.8和不再受支持的舊版本


0x01 漏洞詳情


VMware Spring Cloud Config是美國威睿(VMware)公司的一套分布式系統的配置管理解決方案。該產品主要為分布式系統中的外部配置提供服務器和客戶端支持。
近日VMware官方發布通告,修復了一個VMware Spring Cloud Config中的目錄遍歷漏洞(CVE-2020-5410)。該漏洞源于VMware Spring Cloud Config 2.2.0-2.2.2版本、2.1.0-2.1.8版本和不再受支持的舊版本允許應用程序通過spring-cloud-config-server模塊提供任意配置文件,使攻擊者可以利用精心構造的URL進行任意文件讀取。


0x02 處置建


官方已發布最新版本修復了此漏洞,用戶應盡快升級到VMware Spring Cloud Config 2.2.3或2.1.9版本,其中不再支持的舊版本應盡快升級至可支持的不受該漏洞影響的版本。下載地址:
https://github.com/spring-cloud/spring-cloud-config/releases
臨時措施:將spring-cloud-config-server放置在內網中,并且使用Spring Security對其進行保護,使得只有內部網絡訪問權限的用戶和具有正確身份驗證的用戶才能進行訪問。


0x03 相關新聞

https://spring.io/blog/2020/06/01/spring-cloud-greenwich-sr6-hoxton-sr5-and-2020-0-0-m2-aka-ilford-are-available

0x04 參考鏈接


https://tanzu.vmware.com/security/cve-2020-5410

0x05 時間線


2020-06-01 VMware官方發布通告
2020-06-02 VSRC發布漏洞通告

上一篇 下一篇