发布日期：2020-03-07
更新日期：2020-03-09

受影响系统：

Spring spring-cloud-config-server 2.2.0 - 2.2.1
Spring spring-cloud-config-server 2.1.0 - 2.1.6

描述：

---

CVE(CAN) ID: CVE-2020-5405

spring-cloud-config-server是分布式系统配置服务器。

spring-cloud-config-server组件 2.2.0-2.2.1、2.1.0-2.1.6版本，在实现中存在路径遍历漏洞，攻击者利用此漏洞可以实现目录遍历，读取未授权文件的内容。

<*来源：NSFOCUS Security Team
  *>

建议：

---

厂商补丁：

Spring
------
官方已经在最新的版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护。开发人员可以通过配置Maven的方式对应用升级并编译发布，配置方法如下：

使用2.1.x版本的用户请更新至2.1.7版本：

   <!--   https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-config-server
-->
<dependency>    
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-config-server</artifactId>
<version>2.1.7.RELEASE</version>
</dependency>  
使用2.2.x版本的用户请更新至2.2.2版本：

   <!--   https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-config-server
-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-config-server</artifactId>
<version>2.2.2.RELEASE</version>
</dependency>

浏览次数：1430
严重程度：0（网友投票）