【漏洞详情】

近日Spring官方发布了漏洞通告，Spring Cloud Config 允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件，存在路径遍历漏洞（CVE-2020-5405）。攻击者可利用该漏洞通过特制 URL 请求实现目录遍历攻击，读取未授权文件的内容。

【风险评级】

高危

【影响范围】

Spring Cloud Config 2.1.0 - 2.1.6

Spring Cloud Config 2.2.0 - 2.2.1

【修复建议】

官方已经在最新的版本中修复了该漏洞，建议受影响用户综合评估漏洞风险和业务影响，升级最新版本，避免安全风险：

1、使用 2.1.x 版本的用户请更新至 2.1.7 版本；

2、使用 2.2.x 版本的用户请更新至 2.2.2 版本。

【参考链接】

https://pivotal.io/security/cve-2020-5405

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年3月9日