VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中

最新推荐文章于 2023-08-28 07:30:00 发布
最新推荐文章于 2023-08-28 07:30:00 发布
阅读量570 收藏
点赞数
分类专栏: 漏洞安全 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45647118/article/details/119919870
版权

漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。VMware Tanzu官方已发布修复漏洞的新版本。 Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。

解决方法:官方已发布修复了漏洞的新版本,建议相关用户尽快升级进行防护。 下载链接:https://github.com/spring-projects/spring-framework/releases

检测到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。

参考地址:https://s.tencent.com/research/report/1131.html

罗彬桦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-5421 —— Spring Framework反射型文件下载漏洞
战神/calmness的博客
12-10 907
目录 Spring Framework组件介绍 描述 影响版本 过程 修复建议 CVE-2020-5421 | Spring Framework反射型文件下载漏洞 Spring Framework组件介绍 Spring Framework 是一个开源的 Java/Java EE 全功能栈(full-stack)的应用程序框架,以 Apache 许可证形式发布,也有 .NET 平台上的移植版本Spring Framework 提供了一个简易的开发方式,这种开发方式可以避免那些可能致使底层
VMware-Horizon-Client-5.2.0-14570289.exe
02-22
VMware-Horizon-Client-5.2.0-14570289 远程云桌面的必备工具 非常好的工具
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案】
weixin_42864006的博客
08-12 3858
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案
Spring 安全漏洞 CVE-2020-5421复现
pandamig的博客
01-10 7634
Spring 安全漏洞 cve-2020-5421复现 漏洞概述 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 什么是RDF 反射型文件下载漏洞(RFD)是一种攻击技术,通过从信任的域虚拟下载文件,攻击者可以获得对害者计算机的完全访问权限。 影响版本 Spring Framework 5.2.0 - 5.2.8 Spring Framework 5.1.0 - 5.1.17 Spring
Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案
09-28 901
一、综述 近日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复了漏洞的新版本。 二、影响范围
Spring框架反射型文件下载漏洞 CVE-2020-5421
WgRui的博客
12-16 4701
Spring升级
VMware ThinApp Enterprise v5.2.0-3231342 去提示去版本信息补丁
07-27
VMware ThinApp Enterprise v5.2.0-3231342 去提示去版本信息补丁 1. 去除了打包后的软件在每次运行时右下角弹出来的提示信息; 2. 去除了打包后软件版本属性添加的 ThinAppBuildDateTime、ThinAppLicense、...
spring-beans-5.2.0.RELEASE-API文档-英对照版.zip
07-13
赠送jar包:spring-beans-5.2.0.RELEASE.jar; 赠送原API文档:spring-beans-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-beans-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-beans-5.2.0....
spring-framework-5.2.0.RELEASE-master.zip
10-19
在"spring-framework-5.2.0.RELEASE-master.zip"这个压缩包,我们可以深入理解Spring的核心机制,通过源码注释和解析来提升对Spring的理解。 **Spring IOC(Inversion of Control)**: Spring的IOC容器是其核心...
spring-framework-5.2.0.RELEASE
最新发布
03-04
Spring Framework 5.2.0.RELEASE在国际化和本地化方面也有所改进,使得多语言环境下的应用开发更为简便。 总结来说,Spring Framework 5.2.0.RELEASE通过不断演进和创新,为开发者带来了更高效、更灵活的开发体验...
Spring Framework反射型文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更的不支持版本,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
利用反射和代理实现简单的Spring
12-14
利用反射和代理实现简单的Spring,有良好的注释,代码清晰、简单。
Spring Framework 反射型文件下载漏洞(CVE-2020-5421)复现
锋刃科技的博客
12-30 4281
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射型文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
【DVWA】-反射型/存储型XSS
share something here
03-26 483
【Python】 DVWA介绍反射型存储型XSSDom XSSPythonI春期课程 介绍 XSS,全称 cross Site scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页而注入恶意的脚本代码。当害者访问该页而时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限子 Javascript,还括flash等其它脚本语言。根据恶意代码是否存在服务器,XSS可以分为存储型的XSS与反射型的XSS. DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DO
CVE-2022-22965:Spring Framework远程代码执行漏洞
qq_50854662的博客
11-12 1947
CVE-2022-22965:Spring Framework远程代码执行漏洞
Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421
日拱一卒无有尽,功不唐捐终入海
08-28 1323
背景: Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421。被扫描到需要解决。Spring Boot Actuator是Spring Boot的一个子项目,主要用于监控和管理Spring Boot应用程序。在开发或测试环境,开发者通常会开启所有Actuator的端点,包括/env端点,以便于对应用程序进行诊断和调试。但在生产环境,这种配置可能会导致安全问题。就是一个影响的安全漏洞。这个漏洞主要涉及到环境(Env)端点。
系列文章|云原生时代下微服务架构进阶之路 - Spring
VMware中国研发中心
09-30 779
本篇文章是 Spring 系列的第一篇,首先会从 Spring 历史说起,接着会对微服务开发利器 Spring Boot 以及 Spring Cloud 进行宏观上的介绍,最后会谈到 Spring 黑科技之 Spring Native。
Spring 6【什么是Spring 6、Spring框架介绍 、Spring IoC/DI 详解 】(一)-全面详解(学习总结---从入门到深化)
07-16 3301
Spring 6【什么是Spring 6、Spring框架介绍、Spring IoC/DI 详解】(一)-全面详解(学习总结---从入门到深化)
vmware-horizon-client-5.2.0-14570289.exe
09-21
总之,vmware-horizon-client-5.2.0-14570289.exe是一款功能强大的桌面虚拟化客户端软件,它可以让用户通过任何设备远程访问和管理其个人虚拟机,并提供了出色的图形性能和安全功能。对于需要频繁访问虚拟机的用户来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值