Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案

一、综述
近日，VMware Tanzu发布安全公告，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。

攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害用户系统。

官方已发布修复了漏洞的新版本。

二、影响范围
受影响产品版本

Spring Framework 5.2.0 – 5.2.8
Spring Framework 5.1.0 – 5.1.17
Spring Framework 5.0.0 – 5.0.18
Spring Framework 4.3.0 – 4.3.28

以及其他已不受支持的版本
不受影响产品版本

Spring Framework 5.2.9
Spring Framework 5.1.18
Spring Framework 5.0.19
Spring Framework 4.3.29

三、解决方案
官方已发布修复了漏洞的新版本，建议相关用户尽快升级进行防护。

spring boot 升级到最新版本 2.3.4.RELEASE ，依赖Spring Framework 5.2.9

https://docs.spring.io/spring-boot/docs/2.3.4.RELEASE/reference/html/appendix-dependency-versions.html#dependency-versions
 

最后

以上就是碧蓝哈密瓜为你收集整理的Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案的全部内容，希望文章能够帮你解决Spring Framework反射型文件下载漏洞(CVE-2020-5421)解决方案所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。