CVE-2020-5421 —— Spring Framework反射型文件下载漏洞

最新推荐文章于 2024-09-18 02:31:30 发布
最新推荐文章于 2024-09-18 02:31:30 发布
阅读量1k 收藏
点赞数
分类专栏: CVE 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/109114359
版权
本文介绍了Spring Framework中的反射型文件下载漏洞CVE-2020-5421,该漏洞可能导致服务器下载恶意文件。受影响的版本包括5.2.0到5.2.8、5.1.0到5.1.17、5.0.0到5.0.18以及4.3.0到4.3.28。攻击者可通过jsessionid路径参数绕过防护措施。建议用户及时更新修复包。
摘要由CSDN通过智能技术生成

目录

Spring Framework组件介绍

描述

影响版本

过程

修复建议

CVE-2020-5421 | Spring Framework反射型文件下载漏洞

Spring Framework组件介绍

Spring Framework 是一个开源的 Java/Java EE 全功能栈(full-stack)的应用程序框架,以 Apache 许可证形式发布,也有 .NET 平台上的移植版本。Spring Framework 提供了一个简易的开发方式,这种开发方式可以避免那些可能致使底层代码变得繁杂混乱的属性文件和帮助类。

描述

9月17日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏

了解本专栏 订阅专栏 解锁全文 超级会员免费看
战神/calmness
关注
专栏目录
订阅专栏
Spring Framework反射文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
Spring框架反射文件下载漏洞 CVE-2020-5421
WgRui的博客
12-16 4740
Spring升级
Spring框架漏洞总结
最新发布
weixin_42492000的博客
09-18 633
目录SpEL注入攻击Spring H2 Database Console未授权访问Spring Security OAuth2远程命令执行漏洞(CVE-2016-4977)Spring WebFlow远程代码执行漏洞(CVE-2017-4971)Spring Data Rest远程命令执行漏洞(CVE-2017-8046)Spring Messaging远程命令执行漏洞(CVE-2018-127...
Spring Framework 反射文件下载漏洞CVE-2020-5421)复现
玄道的网安博客
12-30 4358
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案】
weixin_42864006的博客
08-12 4150
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中
罗彬桦的博客
08-25 621
漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应中设置...
Spring 安全漏洞 CVE-2020-5421复现
pandamig的博客
01-10 8096
Spring 安全漏洞 cve-2020-5421复现 漏洞概述 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 什么是RDF 反射文件下载漏洞(RFD)是一种攻击技术,通过从受信任的域虚拟下载文件,攻击者可以获得对受害者计算机的完全访问权限。 影响版本 Spring Framework 5.2.0 - 5.2.8 Spring Framework 5.1.0 - 5.1.17 Spring
Spring Framework反射文件下载漏洞(CVE-2020-5421)解决方案
09-28 952
一、综述 近日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复了漏洞的新版本。 二、影响范围
spring framework mvc 框架
11-20
使用 Java 反射、注解等技术实现的简易 Spring MVC 框架。 实现的注解有:<code>@Autowired</code>、<code>@Controller</code>、<code>@RequestMapping </code>、<code>@Service </code> 核心的代码见 <code>DispatcherServlet</code> 类
利用反射和代理实现简单的Spring
12-14
利用反射和代理实现简单的Spring,有良好的注释,代码清晰、简单。
关于Spring Framework反射文件下载漏洞风险 和 解决
天弃的博客
04-20 2947
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、 5.1.0-5.1.17、 5.0.0-5.0.18、 4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-52..
Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421
日拱一卒无有尽,功不唐捐终入海
08-28 1484
背景: Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421。被扫描到需要解决。Spring Boot Actuator是Spring Boot的一个子项目,主要用于监控和管理Spring Boot应用程序。在开发或测试环境中,开发者通常会开启所有Actuator的端点,包括/env端点,以便于对应用程序进行诊断和调试。但在生产环境中,这种配置可能会导致安全问题。就是一个影响的安全漏洞。这个漏洞主要涉及到环境(Env)端点。
「安全」SPRING FRAMEWORK反射文件下载漏洞
qq_18535553的博客
07-09 1720
「安全」SPRING FRAMEWORK反射文件下载漏洞 前言: 21年5月我在发布了自己的博客在服务器上后,仅一天就收到了腾讯云发的安全报警:“spring框架反射文件下载漏洞”并且在一天之内被异地异常登录攻击了11次(要知道我的域名审批没有下来,要访问我的博客只能通过公网的ip地址)因此,在收到异常报告后我就开始搜索相关信息,并且找到了一年前发布的安全公告。 综述: 20年9月,VMware Tanzu发布安全公告,公布了一个存在于Spring Framewo...
Spring MVC的RFD-反射文件下载(cve-2020-5398)
Li-D的博客
09-16 1742
漏洞描述 Spring MVC的RFD(反射文件下载漏洞)为攻击客户端的漏洞,当响应中设置了“Content-Disposition”头且filename属性是用户可控时容易受到RFD攻击。 攻击应满足以下所有条件才可成功: 1、响应header是通过org.springframework.http.ContentDisposition进行添加的; 2、文件名是通过以下方式之一设置的: ContentDisposition.Builder#filename(String) ContentDispositi
spring框架漏洞整理(Spring Framework漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1555
spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射文件下载(RFD)。 RFD,即 Reflected File Download 反射文件下载漏洞,是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。 这个漏洞很罕见,大多数公司会认为它是
Spring连环CVE-2015-5211和CVE-2020-5421漏洞升级教程!
xmt1139057136的专栏
08-14 2172
你知道的越多,不知道的就越多,业余的像一棵小草!你来,我们一起精进!你不来,我和你的竞争对手一起精进!编辑:业余草推荐:https://www.xttblog.com/?p=5259我们不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值