VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中

最新推荐文章于 2022-04-20 10:42:11 发布
最新推荐文章于 2022-04-20 10:42:11 发布
阅读量621 收藏
点赞数
分类专栏: 漏洞安全 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45647118/article/details/119919870
版权

漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。VMware Tanzu官方已发布修复漏洞的新版本。 Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。

解决方法:官方已发布修复了漏洞的新版本,建议相关用户尽快升级进行防护。 下载链接:https://github.com/spring-projects/spring-framework/releases

检测到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。

参考地址:https://s.tencent.com/research/report/1131.html

罗彬桦
关注
专栏目录
Spring Framework 反射型文件下载漏洞(CVE-2020-5421)复现
玄道的网安博客
12-30 4358
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射型文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
Spring Framework反射型文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.175.0.0-5.0.184.3.0-4.3.28和更不受支持版本,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
Spring框架反射型文件下载漏洞 CVE-2020-5421
WgRui的博客
12-16 4740
Spring升级
Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案
09-28 952
一、综述 近日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复了漏洞的新版本。 二、影响范围
VMware-Horizon-Client-5.2.0-14570289.exe
02-22
VMware-Horizon-Client-5.2.0-14570289 远程云桌面的必备工具 非常好的工具
spring-framework-5.2.0.RELEASE-master.zip
10-19
在"spring-framework-5.2.0.RELEASE-master.zip"这个压缩包,我们可以深入理解Spring的核心机制,通过源码注释和解析来提升对Spring的理解。 **Spring IOC(Inversion of Control)**: Spring的IOC容器是其核心...
Anaconda3-5.2.0-Windows-x86-64.rar
最新发布
03-24
"Anaconda3-5.2.0-Windows-x86_64.rar" 是一个针对64位Windows系统的Anaconda3版本的压缩文件,由清华大学的镜像站点提供,这确保了快速且稳定的下载服务,特别是对于国大陆的用户,可以避免因地理限制或网络问题...
VMware ThinApp Enterprise v5.2.0-3231342 去提示去版本信息补丁
07-27
VMware ThinApp Enterprise v5.2.0-3231342 去提示去版本信息补丁 1. 去除了打包后的软件在每次运行时右下角弹出来的提示信息; 2. 去除了打包后软件版本属性添加的 ThinAppBuildDateTime、ThinAppLicense、...
spring-beans-5.2.0.RELEASE-API文档-英对照版.zip
07-13
赠送jar包:spring-beans-5.2.0.RELEASE.jar; 赠送原API文档:spring-beans-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-beans-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-beans-5.2.0....
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x),应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应设置“ Content-Disposition”标头,其filename属性是从用户提供的输入派生的。 使用 ./gradlew bootrun 听127.0.0.1:8080 。 $ curl 'http://127.0.0.1:8080/?filename=sample&contents=Hello, World' --dump-header - HTTP/1.1 200 Content-Disposition: attachment; filename="sample.txt" Content-Type:
spring-framework-5.2.8.RELEASE//ssm.zip
09-04
spring-framework-5.2.8.RELEASE//spring的jar包//spring-framework-5.2.8.RELEASE//spring的jar包//spring-framework-5.2.8.RELEASE//spring的jar包
spring-framework-5.2.8.RELEASE.zip
07-26
spring-framework-5.2.8.RELEASE.zip
Spring framework(cve-2010-1622)漏洞利用指南 .docx
11-24
Spring framework(cve-2010-1622)漏洞利用指南 .docx
安全SPRING FRAMEWORK反射型文件下载漏洞
qq_18535553的博客
07-09 1720
安全SPRING FRAMEWORK反射型文件下载漏洞 前言: 21年5月我在发布了自己的博客在服务器上后,仅一天就收到了腾讯云发的安全报警:“spring框架反射型文件下载漏洞”并且在一天之内被异地异常登录攻击了11次(要知道我的域名审批没有下来,要访问我的博客只能通过公网的ip地址)因此,在收到异常报告后我就开始搜索相关信息,并且找到了一年前发布安全公告。 综述: 20年9月,VMware Tanzu发布安全公告,公布了一个存在于Spring Framewo...
CVE-2020-5421 —— Spring Framework反射型文件下载漏洞
战神/calmness的博客
12-10 1058
目录 Spring Framework组件介绍 描述 影响版本 过程 修复建议 CVE-2020-5421 | Spring Framework反射型文件下载漏洞 Spring Framework组件介绍 Spring Framework 是一个开源的 Java/Java EE 全功能栈(full-stack)的应用程序框架,以 Apache 许可证形式发布,也有 .NET 平台上的移植版本Spring Framework 提供了一个简易的开发方式,这种开发方式可以避免那些可能致使底层
关于Spring Framework反射型文件下载漏洞风险 和 解决
天弃的博客
04-20 2947
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、 5.1.0-5.1.175.0.0-5.0.184.3.0-4.3.28和较不受支持版本,公布了一个存在于Spring Framework的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-52..
SpringBoot1.5.8 简单解决Spring框架RFD(反射型文件下载)漏洞
lu200601051315的博客
09-24 1141
标题SpringBoot1.5.8 简单解决Spring框架RFD(反射型文件下载)漏洞 我的程序采用的是springboot+gradle模式, 修复此漏洞的版本Spring Framework5.2.9 5.1.18 5.0.19 4.3.29 而我的springboot版本为1.5.8只能将spring Framework版本由默认的4.3.12升级为4.3.29。需要修改build.gradle配置文件,增加Spring Framework版本要求: ext { springVersion
vmware-horizon-client-5.2.0-14570289.exe
09-21
总之,vmware-horizon-client-5.2.0-14570289.exe是一款功能强大的桌面虚拟化客户端软件,它可以让用户通过任何设备远程访问和管理其个人虚拟机,并提供了出色的图形性能和安全功能。对于需要频繁访问虚拟机的用户来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值