Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案

最新推荐文章于 2025-02-23 05:54:18 发布

杰锋

最新推荐文章于 2025-02-23 05:54:18 发布

阅读量1k

点赞数

分类专栏：异常处理文章标签： spring spring boot java

原文链接：https://blog.csdn.net/yunxing323/article/details/109224328

版权

异常处理专栏收录该内容

46 篇文章

订阅专栏

一、综述
近日，VMware Tanzu发布安全公告，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。

攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害用户系统。

官方已发布修复了漏洞的新版本。

二、影响范围
受影响产品版本

Spring Framework 5.2.0 – 5.2.8
Spring Framework 5.1.0 – 5.1.17
Spring Framework 5.0.0 – 5.0.18
Spring Framework 4.3.0 – 4.3.28

以及其他已不受支持的版本
不受影响产品版本

Spring Framework 5.2.9
Spring Framework 5.1.18
Spring Framework 5.0.19
Spring Framework 4.3.29

三、解决方案
官方已发布修复了漏洞的新版本，建议相关用户尽快升级进行防护。

spring boot 升级到最新版本 2.3.4.RELEASE ，依赖Spring Framework 5.2.9

https://docs.spring.io/spring-boot/docs/2.3.4.RELEASE/reference/html/appendix-dependency-versions.html#dependency-versions

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

杰锋

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CVE-2020-5421 —— Spring Framework反射型文件下载漏洞

战神/calmness的博客

12-10

1129

目录 Spring Framework组件介绍描述影响版本过程修复建议 CVE-2020-5421 | Spring Framework反射型文件下载漏洞 Spring Framework组件介绍 Spring Framework 是一个开源的 Java/Java EE 全功能栈（full-stack）的应用程序框架，以 Apache 许可证形式发布，也有 .NET 平台上的移植版本。Spring Framework 提供了一个简易的开发方式，这种开发方式可以避免那些可能致使底层

Spring Framework 反射型文件下载漏洞（CVE-2020-5421）复现

玄道的网安博客

12-30

4455

漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射型文件下载漏洞。此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测，攻击者可以通过截断的方式控制filename变量值，下载任意格式的文件。影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..

参与评论您还未登录，请先登录后发表或查看评论

Spring Framework反射型文件下载漏洞

05-08

在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中，可能会绕过CVE-2015-5211对RFD攻击的保护，具体取决于通过使用jsessionid路径参数使用的浏览器。

漏洞分析 Spring Framework路径遍历漏洞（CVE-2024-38816）

最新发布

brrdg_sefg的博客

02-23

1627

VMware Spring Framework是美国威睿（VMware）公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期，监测到Spring Framework在特定条件下，存在目录遍历漏洞（网宿评分：高危、CVSS 3.1 评分：7.5）：当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时，攻击者可构造恶意请求遍历读取系统上的文件。

Spring框架反射型文件下载漏洞 CVE-2020-5421

dushan1234的专栏

09-25

8961

这篇文章是昨晚写的XStream漏洞的姊妹篇，本次腾讯云提醒的漏洞，出了fastjson的漏洞，还有这个CVE-2020-5421漏洞，也是一样的解决方案。 解决方案： 1.打开腾讯云的漏洞管理，看有哪些漏洞，再接着点击漏洞的名称，腾讯云会告诉你漏洞具体到那个jar包和相应的解决方案。如下图,全是spring-core的jar包版本问题，我的项目是springcloud框架，所以spring的jar包也是框架自动引入的。系统是一个老系统，弄到现在springboot的版本是1.5.12，而sprin.

VMware Tanzu发布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中

罗彬桦的博客

08-25

658

漏洞描述： VMware Tanzu发布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5

关于Spring Framework反射型文件下载漏洞风险和解决

天弃的博客

04-20

3014

VMware Tanzu发布安全公告，在Spring Framework版本5.2.0-5.2.8、 5.1.0-5.1.17、 5.0.0-5.0.18、 4.3.0-4.3.28和较旧的不受支持的版本中，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-52..

CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD（反射文件下载）攻击

04-15

CVE-2020-5398-Spring MVC的RFD（反射文件下载）攻击在Spring Framework（版本低于5.2.3的5.2.x，版本5.1.13的5.1.x和版本5.0.16的5.0.x）中，应用程序在受到攻击时很容易受到反射文件下载（RFD）攻击在响应中设置...

Spring 安全漏洞 CVE-2020-5421复现

pandamig的博客

01-10

8331

Spring 安全漏洞 cve-2020-5421复现漏洞概述 CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。什么是RDF 反射型文件下载漏洞(RFD)是一种攻击技术，通过从受信任的域虚拟下载文件，攻击者可以获得对受害者计算机的完全访问权限。影响版本 Spring Framework 5.2.0 - 5.2.8 Spring Framework 5.1.0 - 5.1.17 Spring

「安全」SPRING FRAMEWORK反射型文件下载漏洞

qq_18535553的博客

07-09

1834

「安全」SPRING FRAMEWORK反射型文件下载漏洞前言： 21年5月我在发布了自己的博客在服务器上后，仅一天就收到了腾讯云发的安全报警：“spring框架反射型文件下载漏洞”并且在一天之内被异地异常登录攻击了11次（要知道我的域名审批没有下来，要访问我的博客只能通过公网的ip地址）因此，在收到异常报告后我就开始搜索相关信息，并且找到了一年前发布的安全公告。综述： 20年9月，VMware Tanzu发布安全公告，公布了一个存在于Spring Framewo...

Spring framework（cve-2010-1622）漏洞利用指南 .docx

11-24

Spring framework（cve-2010-1622）漏洞利用指南 .docx

Spring Framework最新版本 spring-webmvc-5.2.9.RELEASE

10-13

避免可能会绕过CVE-2015-5211对RFD攻击的保护，具体取决于通过使用jsessionid路径参数使用的浏览器。

利用反射和代理实现简单的Spring

12-14

利用反射和代理实现简单的Spring，有良好的注释，代码清晰、简单。

【Spring框架RFD漏洞 (CVE-2020-5421) 解决方案】

weixin_42864006的博客

08-12

4400

Spring框架RFD漏洞 (CVE-2020-5421) 解决方案

spring框架漏洞整理(Spring Framework漏洞)

计算机毕业论文源码，学生个人网页制作html源码。贴近用户做网络推广和互联网优化。

11-01

1678

spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射型文件下载(RFD)。 RFD，即 Reflected File Download 反射型文件下载漏洞，是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS，在危害上类似 DDE：攻击者可以通过一个 URL 地址使用户下载一个恶意文件，从而危害用户的终端 PC。这个漏洞很罕见，大多数公司会认为它是

Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421

日拱一卒无有尽，功不唐捐终入海

08-28

1678

背景： Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421。被扫描到需要解决。Spring Boot Actuator是Spring Boot的一个子项目，主要用于监控和管理Spring Boot应用程序。在开发或测试环境中，开发者通常会开启所有Actuator的端点，包括/env端点，以便于对应用程序进行诊断和调试。但在生产环境中，这种配置可能会导致安全问题。就是一个影响的安全漏洞。这个漏洞主要涉及到环境（Env）端点。

Spring连环CVE-2015-5211和CVE-2020-5421漏洞升级教程！

xmt1139057136的专栏

08-14

2331

你知道的越多，不知道的就越多，业余的像一棵小草！你来，我们一起精进！你不来，我和你的竞争对手一起精进！编辑：业余草推荐：https://www.xttblog.com/?p=5259我们不...