最近,Spring在最新的安全更新中披露了Spring Cloud Config(CVE-2019-3799)中的目录遍历漏洞。 该漏洞的官方评级很高,是一个高风险的漏洞。 漏洞的本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件。 攻击者可以构建恶意URL以利用目录遍历漏洞。
影响版本
- Spring Cloud Config 2.1.0 to 2.1.1
- Spring Cloud Config 2.0.0 to 2.0.3
- Spring Cloud Config 1.4.0 to 1.4.5
- Older unsupported versions are also affected
未受影响的版本
- Spring Cloud Config 2.1.2
- Spring Cloud Config 2.0.4
- Spring Cloud Config 1.4.6
解决方法
最新版本的Spring修复了Spring Cloud Config目录遍历漏洞。 您可以尽快将Spring Cloud Config升级到不受影响的版本。