【漏洞详情】

Spring框架是一个开放源代码的J2EE应用程序框架。近日Spring官方发布了一个漏洞预警(CVE-2020-5398)，在特定版本中攻击者通过篡改响应中的“Content-Disposition”字段可造成反射文件下载（RFD）攻击，漏洞风险较高，建议受影响的用户综合评估安全及业务影响，及时进行加固修复，避免安全风险。

【风险评级】

高危

【影响范围】

5.2.0至5.2.2

5.1.0至5.1.12

5.0.0至5.0.15

【修复建议】

 建议受影响用户综合评估漏洞风险和业务影响，可按如下方案加固修复，避免安全风险。

1、升级安全版本补丁

Spring Framework 5.2.x用户升级到Spring Framework 5.2.3；

Spring Framework 5.1.x用户升级到Spring Framework 5.1.13；

Spring Framework 5.0.x用户升级到Spring Framework 5.0.16。

版本下载链接：http://repo.springsource.org/libs-release-local/org/springframework/spring/

2、或者按如下方法完成安全配置：

应用程序未设置“ Content-Disposition”响应header；

响应header不是通过org.springframework.http.ContentDisposition进行添加的；

文件名是通过以下方式之一设置的：

ContentDisposition.Builder#filename(String, UTF_8)

ContentDisposition.Builder#filename(String, ISO_8859_1)

filename的值不是来自用户提供的输入；

filename来自用户提供的输入，但由应用程序清除。

【参考链接】

https://pivotal.io/security/cve-2020-5398

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。