发布日期：2020-06-02
更新日期：2020-06-03

受影响系统：

VMWare Spring Cloud Config 2.2.0-2.2.2
VMWare Spring Cloud Config 2.1.0-2.1.8

描述：

---

CVE(CAN) ID: CVE-2020-5410

VMware Spring Cloud Config是一套分布式系统的配置管理解决方案。

VMware Spring Cloud Config 2.2.0-2.2.2版本、2.1.0-2.1.8版本及不再受支持的旧版本，允许应用程序通过spring-cloud-config-server模块提供任意配置文件，通过精心构造的URL，攻击者可以利用此漏洞执行目录遍历攻击。

<*来源：Fei Lu (g3020207744@gmail.com)
        bfpiaoran@qq.com
  
  链接：https://tanzu.vmware.com/security/cve-2020-5410
*>

建议：

---

厂商补丁：

VMWare
------
VMWare已经为此发布了一个安全公告（cve-2020-5410）以及相应补丁:
cve-2020-5410：CVE-2020-5410: Directory Traversal with spring-cloud-config-server
链接：https://tanzu.vmware.com/security/cve-2020-5410

参考：https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

浏览次数：1263
严重程度：0（网友投票）