Spring框架反射型文件下载漏洞 CVE-2020-5421

最新推荐文章于 2024-06-12 22:07:25 发布
最新推荐文章于 2024-06-12 22:07:25 发布
阅读量8.7k 收藏 17
点赞数 1
分类专栏: 项目问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dushan1234/article/details/108790058
版权

这篇文章是昨晚写的XStream漏洞的姊妹篇,本次腾讯云提醒的漏洞,出了fastjson的漏洞,还有这个CVE-2020-5421漏洞,也是一样的解决方案。

解决方案:
1.打开腾讯云的漏洞管理,看有哪些漏洞,再接着点击漏洞的名称,腾讯云会告诉你漏洞具体到那个jar包和相应的解决方案。
如下图,全是spring-core的jar包版本问题,我的项目是springcloud框架,所以spring的jar包也是框架自动引入的。系统是一个 老系统,弄到现在springboot的版本是1.5.12,而springboot 1.x如果要升级到2.x的版本,那么从数据库连接池,redis连接池等部分代码都得改写,还有些别的问题,所以不能贸然的修改版本。
那么解决方案不是去修改springcloud和springboot的版本,而是直接在pom文件中修改相应jar包的版本即可,框架会优先读取pom文件中的jar包版本。
在这里插入图片描述
mvn的依赖树如图:mvn dependency:tree
在这里插入图片描述
解决方案是将版本升级到4.3.29即可
在这里插入图片描述

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-core</artifactId>
    <version>4.3.29.RELEASE</version>
</dependency>
增删改查科学家
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring frameworkcve-2010-1622)漏洞利用指南 .docx
11-24
Spring frameworkcve-2010-1622)漏洞利用指南 .docx
Spring Framework 反射文件下载漏洞CVE-2020-5421)复现
锋刃科技的博客
12-30 4312
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架Spring Framework 存在反射文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
Spring Core RCE 漏洞复现
最新发布
qq_73630656的博客
06-12 575
远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件
官方原版源码 spring-framework-4.3.29.RELEASE.zip
09-17
官方原版源码 spring-framework-4.3.29.RELEASE.zip
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案】
weixin_42864006的博客
08-12 3918
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案
CVE-2020-5421 —— Spring Framework反射文件下载漏洞
战神/calmness的博客
12-10 936
目录 Spring Framework组件介绍 描述 影响版本 过程 修复建议 CVE-2020-5421 | Spring Framework反射文件下载漏洞 Spring Framework组件介绍 Spring Framework 是一个开源的 Java/Java EE 全功能栈(full-stack)的应用程序框架,以 Apache 许可证形式发布,也有 .NET 平台上的移植版本。Spring Framework 提供了一个简易的开发方式,这种开发方式可以避免那些可能致使底层
Spring 安全漏洞 CVE-2020-5421复现
pandamig的博客
01-10 7734
Spring 安全漏洞 cve-2020-5421复现 漏洞概述 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 什么是RDF 反射文件下载漏洞(RFD)是一种攻击技术,通过从受信任的域虚拟下载文件,攻击者可以获得对受害者计算机的完全访问权限。 影响版本 Spring Framework 5.2.0 - 5.2.8 Spring Framework 5.1.0 - 5.1.17 Spring
spring3升级到spring4.3
刘本龙的专栏
11-17 2642
项目中有一个外购的老的系统,使用的spring3,太老了,也不符合公司安全要求,固将其升级为spring4。这里就记录一下修改内容。 升级spring版本 <spring.version>3.2.18.RELEASE</spring.version> 升级到 <spring.version>4.3.29.RELEASE</spring.version> 升级xml文件中的xsd版本 如http://www.springframework.org/schem
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应中设置...
Spring Framework反射文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
spring-web-4.3.29.RELEASE.jar
05-14
VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复了漏洞的新版本。 Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。受影响产品版本 Spring Framework 5.2.0 – 5.2.8 Spring Framework 5.1.0 – 5.1.17 Spring Framework 5.0.0 – 5.0.18 Spring Framework 4.3.0 – 4.3.28 以及其他已不受支持的版本 不受影响产品版本 Spring Framework 5.2.9 Spring Framework 5.1.18 Spring Framework 5.0.19 Spring Framework 4.3.29
Spring4.3完整官网下载的完整包
01-23
官网下载的资源包含Spring4.3版本!包含全部的jar文件和源码文件以及文档文件
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
Spring Framework反射文件下载漏洞(CVE-2020-5421)解决方案
09-28 923
一、综述 近日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复了漏洞的新版本。 二、影响范围
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中
罗彬桦的博客
08-25 575
漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5
spring-framework-bom解决spring版本冲突
喵丶布
09-22 760
目前springframework升级版本跟普通的第三方组件略有不同,Spring不同模块或者与外部进行集成时,依赖处理就需要各自对应版本号。比如,较新spring与较老的quartz,它们集成就会遇到问题,给搭建和升级带来不便。因此Spring IO Platform应运而生,只要项目中引入了它,外部集成时依赖关系无需版本号。 在pom.xml中properties标签中添加版本,dependencies节点下添加引用 <spring_version>4.3.29.RELEASE</sp
Apache Tomcat文件包含漏洞(CVE-2020-1938)
09-11
嗨!对于Apache Tomcat文件包含漏洞(CVE-2020-1938),该漏洞是在2020年2月份公开的,影响Tomcat 9.0.0.M1至9.0.30以及8.5.0至8.5.50版本。该漏洞允许攻击者通过发送特制的请求来执行任意文件的读取和包含。 该漏洞的根本原因在于Tomcat的处理器组件(Servlet、WebSocket等)对于路径参数错误地解析了请求。攻击者可以利用这一点来读取或包含Web应用程序中的敏感文件,甚至可能在服务器上执行恶意代码。 由于该漏洞的危害性较高,建议及时升级到Tomcat 9.0.31或8.5.51版本,这些版本修复了该漏洞。此外,如果无法立即升级,你可以考虑使用防火墙或其他网络安全设备来限制对Tomcat端口的访问,从而减轻潜在攻击的风险。 记住,定期更新和维护所有软件和库是保持系统安全的重要措施之一。同时,合理配置服务器和应用程序,限制访问权限,并进行网络安全审计也是必要的。如果你是Tomcat用户,请务必关注并采取适当的措施来保护你的系统免受该漏洞的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值