Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案

最新推荐文章于 2024-05-31 10:59:06 发布
最新推荐文章于 2024-05-31 10:59:06 发布
阅读量4.3k 收藏 6
点赞数 1
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxing323/article/details/109224328
版权

一、综述

近日,VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。

攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。

官方已发布修复了漏洞的新版本。

二、影响范围

受影响产品版本

  • Spring Framework 5.2.0 – 5.2.8
  • Spring Framework 5.1.0 – 5.1.17
  • Spring Framework 5.0.0 – 5.0.18
  • Spring Framework 4.3.0 – 4.3.28
  • 以及其他已不受支持的版本

不受影响产品版本

  • Spring Framework 5.2.9
  • Spring Framework 5.1.18
  • Spring Framework 5.0.19
  • Spring Framework 4.3.29

三、解决方案

官方已发布修复了漏洞的新版本,建议相关用户尽快升级进行防护。

spring boot 升级到最新版本 2.3.4.RELEASE ,依赖Spring Framework 5.2.9

https://docs.spring.io/spring-boot/docs/2.3.4.RELEASE/reference/html/appendix-dependency-versions.html#dependency-versions

三侠剑
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-5421 —— Spring Framework反射文件下载漏洞
战神/calmness的博客
12-10 926
目录 Spring Framework组件介绍 描述 影响版本 过程 修复建议 CVE-2020-5421 | Spring Framework反射文件下载漏洞 Spring Framework组件介绍 Spring Framework 是一个开源的 Java/Java EE 全功能栈(full-stack)的应用程序框架,以 Apache 许可证形式发布,也有 .NET 平台上的移植版本。Spring Framework 提供了一个简易的开发方式,这种开发方式可以避免那些可能致使底层
Spring Framework反射文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案
weixin_42864006的博客
08-12 3895
Spring框架RFD漏洞 (CVE-2020-5421) 解决方案
【护网必备】Spring综合漏洞的利用工具
最新发布
Fly_鹏程万里
05-31 299
复现了几个spring之前的漏洞,顺手就武器化了下,工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。
Spring框架反射文件下载漏洞 CVE-2020-5421
WgRui的博客
12-16 4707
Spring升级
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中
罗彬桦的博客
08-25 572
漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应中设置...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
利用反射和代理实现简单的Spring
12-14
利用反射和代理实现简单的Spring,有良好的注释,代码清晰、简单。
spring-web-4.3.29.RELEASE.jar
05-14
VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复漏洞的新版本。 Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。受影响产品版本 Spring Framework 5.2.0 – 5.2.8 Spring Framework 5.1.0 – 5.1.17 Spring Framework 5.0.0 – 5.0.18 Spring Framework 4.3.0 – 4.3.28 以及其他已不受支持的版本 不受影响产品版本 Spring Framework 5.2.9 Spring Framework 5.1.18 Spring Framework 5.0.19 Spring Framework 4.3.29
Spring Framework 反射文件下载漏洞CVE-2020-5421)复现
锋刃科技的博客
12-30 4305
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
spring漏洞合集 下
寒星的博客
05-07 5442
前言 现在的 java 开放的网站十个里面有九个是 spring 写的。网上对 spring 相关漏洞的资料很多,但是总结的文章却很少,再加上 spring 庞大的生态,每当看到 spring 相关网站的时候,脑子里虽然零零散散冒出来一堆漏洞,但是却不知道哪些符合当前环境。 因此搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候,能够有一个更完整的思路去发现漏洞。 这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最
spring框架漏洞整理(Spring Framework漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1462
spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射文件下载(RFD)。 RFD,即 Reflected File Download 反射文件下载漏洞,是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。 这个漏洞很罕见,大多数公司会认为它是
Spring文件下载(CVE-2020-5398)
m0_65150886的博客
01-18 515
传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制。1.访问http://ip:port,出现如下页面,开始实验。3.下载文件,通过拦截get请求,修改完数据后,再放包。2.通过burp进行抓包,修改get请求,获取。变量值,下载任意格式的文件。反射文件下载漏洞。的分层应用程序框架。
关于Spring Framework反射文件下载漏洞风险 和 解决
天弃的博客
04-20 2862
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、 5.1.0-5.1.17、 5.0.0-5.0.18、 4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-52..
WebLogic-CVE-2020-25511漏洞分析及POC代码不足的解决方案
漫谈WebLogic-CVE-2020-25511 背景 2020年1月14日,Oracle发布了大量安全补丁,修复了43个严重漏洞,CVSS评分均在9.1以上。其中CVE-2020-2551漏洞备受关注。 漏洞分析 2020年3月19日,白帽汇安全研究院的r4v3zn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值